求问:服务器这是被服务商装了什么挖矿程序吗?

2024-03-19 20:30:52 +08:00
 Reappear8835

实验室买的服务器,开机 CPU 就自动跑满(但好像自己运行程序的时候不受影响,也不占用 GPU ),发现 rc.local 里有一句“bash /usr/bin/33aa3146”, top 命令下看到也是这个 process 在占用 CPU ,kill 掉了 CPU 占用率就掉下去了。

想问下有什么手段可以检查到这个 process 在干什么吗?挖矿的话也没占用 GPU 。

1806 次点击
所在节点    问与答
12 条回复
swulling
2024-03-19 20:33:31 +08:00
直接重装
32uKHwVJ179qCmPj
2024-03-19 20:38:09 +08:00
别查了,直接重装,1000%有问题
Reappear8835
2024-03-19 20:39:02 +08:00
补充一下,服务器断网了这个 process 就没了,CPU 也掉下去了。
imrei
2024-03-19 20:41:11 +08:00
重装包治百病
hefish
2024-03-19 20:49:11 +08:00
不是很熟悉 rootkit 之类的东西的话,还是直接重装吧。
记得装好系统之后,把该做的安全措施都做了。
Reappear8835
2024-03-19 21:07:44 +08:00
重装是肯定的,但现在是看看有没有什么证据,因为企业服务商做这种事还挺严重的
ntedshen
2024-03-19 22:39:28 +08:00
不会调试的话。。。
bin 拷下来直接丢个在线病毒分析?
磁盘整个镜像一遍回家慢慢搜罗也行。。。
cdlnls
2024-03-19 23:20:37 +08:00
服务商做这种事感觉不太可能,完全是得不偿失。
cdlnls
2024-03-19 23:24:20 +08:00
如果不是刚开机,啥也没操作的情况下发现的,真的建议检查一下自己有没有执行什么一键部署脚本,或者程序。排除一下有没有可能内网其他跳板机攻击的。就是要溯源,找到来源后,下一步操作才有意义。
Reappear8835
2024-03-19 23:48:15 +08:00
@cdlnls
@ntedshen
@hefish
@swulling
@7v9TEc53
@imrei 好的感谢
fizzmst
2024-03-20 10:17:44 +08:00
病毒+1
好奇的话可以去看看/usr/bin/33aa3146 里面文件的 md5 ,我之前碰到的就是文件名伪装成 Discord 。搜了一下 md5 发现是挖矿
Gloppy
2024-03-20 13:21:46 +08:00
好像门罗币是用 cpu 挖的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1025185

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX