发现:

收到机房发来信息说服务器不断向外发送恶意数据包,要求处理。

排查处理:

登录服务器查看服务,命令#top
看到有两个个服务以nobody的身份运行,且占用CPU资源很高,networkservice,sysupdate
check1.jpg
执行命令查看服务所在目录,然后停止这两个服务进程,删除程序文件

CentOS门罗币sysguardsysupdatethinkphp漏洞挖矿木马

第一种方式

通过openssl生成私钥

1
openssl genrsa -out server.key 1024

使用私钥生成自签名的cert证书文件,以下是通过参数只定证书需要的信息

1
openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"

如果对上面参数具体的说明不太了解的,可以使用不带参数的方式,通过命令行步骤生成,参考第二种方式。

CentOSopenssl证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#cp /etc/ssh/sshd_config{,.old}
#vim /etc/ssh/sshd_config

#Subsystem sftp /usr/libexec/openssh/sftp-server <===注释这一行
增加下面4行
Subsystem sftp internal-sftp
Match Group chroot #组名可自行指定
ChrootDirectory /chroot/%u #家目录可自行指定
ForceCommand internal-sftp
#systemctl restart sshd
#mkdir /chroot
#groupadd chroot
#useradd -d /chroot/work -g chroot -s /bin/false work
#passwd work
#chown root /chroot/work
#chmod 750 /chroot/work
CentOSsftp家目录

dmidecode命令,通过该命令可以查看系统有关硬件方面的信息,BIOS信息,系统信息,主板信息,内存,CPU,磁盘等等的硬件信息。
dmidecode的作用是将DMI数据库中的信息解码,以可读的文本方式显示。由于DMI信息可以人为修改,因此里面的信息不一定是系统准确的信息。但多数情况下还是具有参考意义的。
dmidecode遵循SMBIOS/DMI标准,其输出的信息包括BIOS、系统、主板、处理器、内存、缓存等等。
如果找不到该命令的话可以先安装,以centos6为例,# yum install -y dmidecode

Linuxdmidecode

转载:抛开当下的迷惘,技术人发展之路该怎么走?

技术圈中的很多人,最初都坚定地认为 coding 能改变世界。然而三五年过去后,还能不忘初心的人,少之又少。

随着年龄的增长,梦想已被束之高阁,面包慢慢占据生活的大部分。我们可能对自己的发展还是会很纠结和无所适从,甚至在成长过程中,这种彷徨和迷惑越来越重,对未来越来越没有信心。

迷惘技术人30岁

使用awk批量杀进程的命令:
1
ps -ef | grep firefox | grep -v grep | awk '{print "kill -9 "$2}'|sh

列出了当前主机中运行的进程中包含firefox关键字的进程
ps -ef |grep firefox |grep -v grep

Linuxawkcutshell

nginx配置文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
server {
listen 80;
server_name www.aledk.com aledk.com;
rewrite ^(.*) https://$server_name$1 permanent;
#rewrite ^(.*) https://$host$1 permanent;
#rewrite ^(.*) https://aledk.com$1 permanent;
}
server {
listen 443 ssl;
server_name www.aledk.com aledk.com;
root /home/www;
ssl_certificate /etc/nginx/certs/server.crt;
ssl_certificate_key /etc/nginx/certs/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
CentOSNginxhttps