xmr挖矿木马侦测消息推送脚本
侧边栏壁纸
  • 累计撰写 32 篇文章
  • 累计收到 11 条评论

xmr挖矿木马侦测消息推送脚本

翔翎
2022-06-06 / 0 评论 / 85 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2022年06月07日,已超过660天没有更新,若内容或图片失效,请留言反馈。

前言

  • 最近发现某台机器经常出现wgetcurl程序丢失的情况,之前一直没有时间排查,今天一查发现居然中了xmr挖矿木马,目前不确定是ssh暴破还是什么原因(我这台机器启用了SSH密钥登录,并非常规的密码登录);
  • 因为本人手上小鸡比较多(大概30+),没有时间逐一去排查,大概参阅了下网上xmr挖矿木马的大致特点,写了个侦测脚本丢小鸡上定时运行,如发现存在xmr挖矿木马,通过TG机器人推送消息,方便及时处理;
  • 废话不多说,脚本很简单,代码如下:
#!/bin/bash
cat > /usr/bin/tongzhi <<EOF
#!/bin/bash
baseip=\$(curl -4 ipip.ooo)
if [[ -d /tmp/xmr ]]||[[ -f /tmp/config.json ]]||[[ -f /usr/.work/work32 ]]||[[ -f /usr/.work/work64 ]]; then
  # 下方对照修改填写自己tgbot的apitoken和自己的TGID即可
    curl -s "https://api.telegram.org/bot{apitoken}/sendMessage?chat_id={tgid}&text=⚠️注意,本机发现挖矿程序,我的IP地址为:\${baseip}"
fi
EOF
chmod +x /usr/bin/tongzhi
sed -i 'N;8 a */1 * * * * /usr/bin/tongzhi' /etc/crontab
/etc/init.d/cron restart
echo "挖坑检测程序部署完成···"

食用方法:

  • 小鸡上创建文件,如check.sh,粘贴上述代码,根据注释配置好TG机器人的apitoken和自己的tgid,最后bash check.sh执行一次即可。
  • 备注:本脚本在Debian和Ubuntu系统上测试过,Centos未测试,可自行测试下。
0

评论 (0)

取消