|
早上来机构,客户报系统不可登陆了。我以为简单的应用挂机问题,后来发掘是cpu超200。直接使服务器宕机!猜测是被移植了挖矿程序,后来经过证实果然是。于是起始和植马的狠人斗智斗勇。用尽浑身解数最终解码。在全部过程中,发掘这个人是个狠人,办事不留痕迹,按时移植的漂美丽亮。假若有缘,能够交个伴侣,一块探索渗透技术,哈哈!或当个红帽子!
下面跟大众介绍这个狠人的招数,我为么说是个狠人,是有原由的。单纯的植马,那无所说,运用个弱秘码或其他渗透手段就能进入服务器。马删了亦就无所说了。这个马却是个狠马。被移植不说,文件属性还被更改为只能被添加,不准许被删除。这还不行,竟然还搞了个u属性(u-卖个关子)。当我发掘后只能运用chattr删除属性,然则发掘运用了无报错(不表示),熟练linux的都晓得,不表示便是最好的表示,由于执行成功的才会这般。然则查看时,那玩意竟然还在,真实头大啊。看着top后高高在上的cpu,真是有苦说不出哦!几经周折,发掘chattr亦给我替换了。找到原由,就能对症下药了。于是乎,安装chattr的包(e2fsprogs-这个需要按照你服务器的版本,我的是阿里云 linux),命令,yum -reinstall e2fsprogs -y,强制替换掉的命令。接下来便是刷刷的删除不应有的属性,接着rm干掉这玩意。接着重启应用,成功!真是出了一头汗!期盼本篇信息能够帮忙更加多处在被攻击却无从下手之人!
| 
发表于 2024-8-22 14:45:21