服务器疑似被入侵，怎么看这个文件执行了什么？

一部分 dpkg 日志

好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
瞅瞅 /var/log/log 是啥？

/var/log 目录下应该还有一个 log 执行文件，这个才是主要

大致看了一下，没有加密，没有 strip ，使用`readelf --headers sshu`可以看到正常的 elf 段结构

使用`objdum -S`人肉反汇编看了一下，似乎不是恶意程序

简单来说，把用户输入传递给`system`函数，相当于使用`sh`解释用户输入并执行，不断重复直到出现错误，然后输出错误之后退出，很正常的一个程序

使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑

这个 sshu 相当于一个简单的 shell ，还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的，目地可能是避免被 bash 记录 history

https://github.com/zhongjun96/zhongjun96/blob/main/log

@aloxaf @dream10201 @vituralfuture

log 文件已经上传，各位大佬帮忙看看？

火绒扫 log 是病毒，很奇怪，设备只开了 ssh 密钥登录，怎么入侵的？

log 应该是个挖矿程序，可能来自于这个： https://github.com/xmrig/xmrig

@g5tf87 #7 看 cpu 和内存占用。1~3 一直 100%。但是看 top 又没看到是哪个进程

sshu 文件 如何分析？

如何获取的 sshu 文件

log 文件是挖矿木马，/usr/bin/sshu 是它的启动软件

你想进一步查，得提供更多的信息啊。比如服务器上运行的软件？进程列表？监听列表？

strace -p $pid 可以不？

@retanoj #11 的确是挖矿文件，找到了连接

如何才能看有没有被注入挖矿?

ssh 版本?难道是最新的漏洞?

openssh 有漏洞了，是不是和这个有关？

备份数据，格式化重新安装，分析漏洞原因

关注 希望能找到被入侵的漏洞

安装了哪些软件或者服务 方便说下么

https://v2ex.com/t/1054091#reply88

？？？？？ 这么快