阿里云服务器被黑客植入定时恶意任务

作者 :
免费
  • 正文
  • 数据来源进程启动触发检测
    告警原因该命令与蠕虫病毒命令特征高度相似。
    用户名www

    命令行bash /tmp/.ICE-unix/.ICE-unix.sh

    进程路径/usr/bin/bash

    进程ID27817
    父进程命令行/usr/sbin/crond -n
    父进程文件路径/usr/sbin/crond
    父进程ID27816

    进程链

    -[1156]  /usr/sbin/crond -n
    -[27816]  /usr/sbin/crond -n

    问题原因:[root@iZ2ze64f3bydexg9g1k8guZ ~]# crontab -u www -l 

    0 0 * * 1 bash /tmp/.ICE-unix/.ICE-unix.sh

    0 0 * * 1 bash /tmp/.Test-unix/.Test-unix.sh

    crontab -u www -l 输出中,可以看到用户 www 的 crontab 中有两个定时任务,它们都在每周一(1 表示星期一)的午夜(0 0 表示子夜)执行两个可疑的 shell 脚本。

    这些脚本(/tmp/.ICE-unix/.ICE-unix.sh/tmp/.Test-unix/.Test-unix.sh)位于 /tmp 目录下,这是一个常见的临时文件存储位置,但也被恶意软件用来隐藏其活动,因为 /tmp 目录在重启后通常会被清空。

    解决方法:

     

    • 停止并删除 cron 任务
      首先,您需要移除这两个 cron 任务。您可以使用 crontab -u www -e 命令编辑用户 www 的 crontab,然后删除或注释掉这两个条目。

    • 检查脚本内容
      尽管这样做可能有些风险(因为脚本可能是恶意的),但您可以使用 catless 命令来检查这些脚本的内容。

    cat /tmp/.ICE-unix/.ICE-unix.sh
     
    cat /tmp/.Test-unix/.Test-unix.sh

    请确保在检查脚本内容之前,您已经采取了适当的预防措施,例如在一个隔离的环境中或使用只读模式查看文件。

    阿里云服务器被黑客植入定时恶意任务-完美源码

    END
    如本资源侵犯了您的权益,请联系投诉邮箱admin@wmphp.com进行举报!我们将在收到邮件的1个小时内处理完毕。 本站仅为平台,发布的资源均为用户投稿或转载!所有资源仅供参考学习使用,请在下载后的24小时内删除,禁止商用! Wmphp.com(完美源码)助力正版,如您有自己的原创产品,可以联系客服投稿,代理出售! Wmphp.com(完美源码)客服QQ:136882447 Wmphp.com(完美源码)商务电话(仅对企业客户/个人用户):15120086569 (微信同步) 请注意:本站不提供任何免费的技术咨询服务,为了节约时间,下载前 请确认自己会技术
    完美源码 » 阿里云服务器被黑客植入定时恶意任务
    3553+

    本站勉强运行

    3968+

    用户总数

    692+

    资源总数

    0+

    今日更新

    2024-5-13

    最后更新时间