服务器好像被挖矿了。

2021-11-22 13:16:04 +08:00
 colys

各位大佬我该咋办~

进程是这样的,我 kill 之后又有了。 

root     15311  2748  0 11:31 ?        00:00:00 /bin/sh -c lspci -vvv  2>/dev/null
root     15312  2748  0 11:31 ?        00:00:00 /bin/sh -c df -lkPTx squashfs | grep  -E "^/|^.\:"
root     15313 15311 27 11:31 ?        00:00:36 /bin/sh -c lspci -vvv  2>/dev/null
root     15314 15312 26 11:31 ?        00:00:34 /bin/sh -c df -lkPTx squashfs | grep  -E "^/|^.\:"
root     15315 15312 25 11:31 ?        00:00:33 /bin/sh -c df -lkPTx squashfs | grep  -E "^/|^.\:"
root     15317  2748 27 11:31 ?        00:00:35 /bin/sh -c /opt/vc/bin/vcgencmd measure_temp
root     15319  2748  0 11:31 ?        00:00:00 /bin/sh -c lsblk -r 2>/dev/null | grep /
root     15320 15319 27 11:31 ?        00:00:36 /bin/sh -c lsblk -r 2>/dev/null | grep /
root     15321 15319 26 11:31 ?        00:00:33 /bin/sh -c lsblk -r 2>/dev/null | grep /
1954 次点击
所在节点    服务器
5 条回复
colys
2021-11-22 13:23:17 +08:00
![微信图片_20211122132219.png]( https://i.loli.net/2021/11/22/O7lkEjLcD4mIb6r.png)
amai0w0
2021-11-22 13:41:42 +08:00
应该是有有守护进程,另外可以查下有没有异常的定时任务。
如果没什么重要东西的话建议直接重装系统,这种挖矿脚本清起来挺费事儿的
gadfly3173
2021-11-22 17:27:08 +08:00
不重装的话基本思路就是先检查 bash 有没有被替换,如果服务器最近没更新什么文件的话可以直接查一下最近被更新的文件有哪些,排除掉可疑的文件,然后清理定时任务、自启动之类的
colys
2021-11-22 18:35:17 +08:00
谢谢大佬们,的确是挖矿的,已经解决
colys
2021-11-22 18:35:53 +08:00
h--t--t--p--:--//194.38.20.199/ph.sh 就是这玩意 无语。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/817108

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX