求助,服务器 crontab 被人异常加入挖矿脚本

我以为直接重装的我都够消极了
没想到还有直接改 HOST 的

大佬毕竟是大佬

你们机器上是不是有个空密码的 redis 在跑？

注释了就行

又不是不能用。。。

@aulia 是 但 redis 端口没开放给对外 ,bind 127.0.0.1

昨天刚发现测试环境跑了个 xmrig。。。 又不是不能用

估计 php 有漏洞被渗透获取了 webshell,你先检查下有没有奇怪的 php 文件

把 curl 和 wget 删掉，又不是不能用

还真不能用，一般都是挖门罗币，CPU 给你占满。redis 没设密码。被黑进服务器执行木马代码。定时还关不掉。高级的不止改 cron，还有伪造系统进程 httpdns、篡改系统文件 libntp.so 全程守护。

遇到过类似的，把常用命令感染了，比对下 ss netstat top 之类的二进制的时间，不放心就一个个换。

曾经分析过，感觉挺暴利的。原理还简单，利用 redis 无密码的越权漏洞，还写个 Python 扫局域网里有相同漏洞的机子。

redis 公网？

@miyuki 没仔细看，我瞎了

建议重装吧

草(日本语)，这玩意连 debug_info 都没删，那专杀脚本快出了，如果着急联系下搞安全的公司

我不是专业的人员，所以下面内容我也不知道有没有作用...这个软件总体原理和之前的几个挖矿软件类似，修改 crontab，修改 rm，拷贝挖矿本体，看看能不能用之前的脚本删除 crontab 里的内容，然后用 busybox rm 删除 /etc/pvds /etc/httpdz /etc/migrations 还有 /etc/init.d/ats， 检查 chkconfig， 最后检查下 /tmp 下的文件。最好在 /etc/hosts 里加上 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz 。

@guanhui07 是用的阿里云的专有网络还是经典网络？

Rootkit ？

这个得亲自上机诊断才知道怎么解决吧，可以花钱找安全公司，不过有可能会比较贵。
要是机器上没有业务数据或可以安全备份业务数据，可能重装重新部署会更快更有效。
SSH 禁用密码只允许秘钥方式登录，然后所有服务都以非 root 最小权限方式运行，也可以考虑用容器直接隔离。

以前碰到过 redis 无密码 挖矿程序跑满

CentOS 6.9 Final 同样中毒，症状是 wloq 进程 CPU 100%。。
我的处理是先把 /bin/sh 改名成 /bin/sh_ex，然后 /etc/hosts 加入
127.0.0.1 w.3ei.xyz
127.0.0.1 w.21-3n.xyz
以上两步可以禁止脚本继续执行
kill -9 `pidof httpdz`
kill -9 `pidof migrations`
kill -9 `pidof pvds`
kill -9 `pidof wloq`
kill -9 `pidof initdz`
chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations
rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq
然后
chattr -i /var/spool/cron/root
chmod a+s /var/spool/cron/root
vi /var/spool/cron/root
:%d
:wq
清空计划任务
chattr -i ~/.ssh/authorized_keys
chmod a+s ~/.ssh/authorized_keys
vi ~/.ssh/autorized_keys
在带有 Administrator@Guess 的那一行按 dd 删掉
:wq
这样基本就把挖矿病毒清理完了

另外我遇到的病毒还会在硬盘上所有 jquery*.js 的末尾加上一行代码
find / -name 'jquery*.js'
找出硬盘上所有相关文件，然后删掉这行代码