首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qwertyzzz
V2EX  ›  程序员

被挖矿的搞了。。

  •  
  •   qwertyzzz · 10 天前 · 7368 次点击

    按网上教程搞了几次了又重新出来了 crontab -l 也没发现啥

    截屏 2020-01-1109.03.39.png

    47 回复  |  直到 2020-01-20 17:31:46 +08:00
    sunziren
        1
    sunziren   10 天前
    把服务器插头一拔。doge:
    TORYOI
        2
    TORYOI   10 天前
    切换到 www 用户再查看 crontab -l
    qwertyzzz
        3
    qwertyzzz   10 天前
    @TORYOI 打开了 var/tmp/cron 把下面的文件都删了现在。
    qwertyzzz
        4
    qwertyzzz   10 天前
    @TORYOI var/spool/cron
    TORYOI
        5
    TORYOI   10 天前
    如果网站还没关闭能访问,可能是网站程序有漏洞还没修复
    用了框架的话查下是不是框架有安全漏洞要修复
    qwertyzzz
        6
    qwertyzzz   10 天前
    @TORYOI 切换成 www 看到那个定时任务了。。我看说是 redis 的服务 我直接卸载了

    https://blog.csdn.net/weiwoyonzhe/article/details/103727788
    TORYOI
        7
    TORYOI   10 天前
    @qwertyzzz
    查到漏洞就好
    哎,这些令人头疼的挖矿木马
    qwertyzzz
        8
    qwertyzzz   10 天前
    @TORYOI 说 redis 的是这个
    https://blog.csdn.net/weixin_43970890/article/details/103857487

    目前暂时没问题了 多亏让切到 www 看 之前一直没找到 3q
    qwertyzzz
        9
    qwertyzzz   10 天前
    @TORYOI 说完又来了。。
    TORYOI
        10
    TORYOI   10 天前
    @qwertyzzz 那比较大的可能是网站程序问题了。。。
    qwertyzzz
        11
    qwertyzzz   10 天前
    @TORYOI 是啊。。把关联进程全删了 好像有 php-fpm mysql 然后重启了下看看 估计等等还会有
    oneisall8955
        12
    oneisall8955   10 天前 via Android
    楼主解决了写一下,之前我的是很简单就解决的,看了下估计你的不简单
    TORYOI
        13
    TORYOI   10 天前
    @qwertyzzz 如果可以关闭网站,可以先关闭网站访问再修复,然后再看看 http 请求日志有没异常
    qwertyzzz
        14
    qwertyzzz   10 天前
    @oneisall8955 @TORYOI 使用的宝塔面板,解决方法 基本和前面贴的链接一样 就是查看 crontab 的时候切 www 用户才看到那个的,然后 redis 我给卸载了 ,之后 php-fpm 和 mysql 因为好像也关联到了 也杀了进程 重启了 目前暂时没问题 不知道哪还会有
    zhaorunze
        15
    zhaorunze   10 天前
    我也被搞了两次,一摸一样的进程名
    qwertyzzz
        16
    qwertyzzz   10 天前
    @zhaorunze 不知道咋被感染的 怀疑是 redis
    yuexuan
        17
    yuexuan   10 天前
    我们公司服务器也是,有个同事把 redis 用 0.0.0.0 启动的, 后面换成 127 了, 然后上了阿里的防火墙, 就好了
    yuexuan
        18
    yuexuan   10 天前
    登录上去之后, 用 wegt 偷偷下载脚本,然后启动定时程序
    qwertyzzz
        19
    qwertyzzz   10 天前
    @yuexuan 我用的 127 密码是简单点。。
    Msxx
        20
    Msxx   10 天前
    我之前也有类似高负载经历,但按理说挖矿应该是 24 小时不停的。我那负载却是白天高,到了晚上 11 点-早上 8 点 9 点就闲下来了。而且不是 www,是 mysql 的占用。奇怪~
    WFMS
        21
    WFMS   10 天前
    最近站内说被搞的都有一条前提项宝塔 是用户基数太大 还是真的有问题 我也在用 纯粹为了省事
    Guys
        22
    Guys   10 天前
    这种先把循环任务找到 用 pid 把占用多的进程先暂停 然后再弄 我之前遇到过两次
    yydcl
        23
    yydcl   10 天前 via Android
    有快照的话,还原呗
    des
        24
    des   10 天前 via Android
    @Guys 这种挖矿的用 wget curl 比较多,我之前遇到的,先把这两个删了,回头再装回来
    diaosi
        25
    diaosi   10 天前
    看 web log,看看他是怎么拿到权限的。
    redis 会在你 ssh 里写公钥,找找看有没有陌生的。
    Guys
        26
    Guys   10 天前   ♥ 1
    @des 这是循环任务 直接杀掉或者删的不干净 会反弹的,所以先暂停 然后找到根删掉,这是我以前遇到过的来源路径
    http://45.55.211.79/.cache/jenkins/2/z1.sh
    jmi
        27
    jmi   10 天前
    我的也挨过,传送门 [SPAM LINK REMOVED]
    trout
        28
    trout   10 天前
    @jmi 这网站有病毒?
    z775781
        29
    z775781   10 天前
    @yuexuan 改为 127 他也不安全,假设一个场景,有人拿到你 shell,内核比较新的话无法通过 exp 提权,那就只能通过服务提权了,如果恰好 redis 配置文件可读,就可以反弹 shell 直接连接你的 redis 提权了
    dream7758522
        30
    dream7758522   10 天前 via iPhone   ♥ 1
    反其道而行之,我的服务器挺闲的,如何装个挖矿软件?赚赚零花钱。
    Dongxilemo
        31
    Dongxilemo   10 天前 via Android
    都是厉害的家伙
    yuexuan
        32
    yuexuan   10 天前
    @dream7758522 云服务器内网扫描端口号? 查看别人服务器端口号漏洞?
    JoeoooLAI
        33
    JoeoooLAI   10 天前
    最近好多人都发帖说被挖矿的搞了。。。。啊。。看来没人看得上我那单核的小鸡
    dallaslu
        34
    dallaslu   10 天前
    建议把服务迁走,这台就重置了吧。
    dream7758522
        35
    dream7758522   10 天前 via iPhone
    @yuexuan 你没看懂我的意思,我意思是有没有第三方运营的合法挖矿软件,挖矿费用也好结算。然后给自己的机器装上,平常机器都闲着,赚点零花钱
    Mac
        36
    Mac   10 天前 via Android
    @WFMS 就图个方便而已,防火墙还是要上的。另外宝塔官网的运维太扯淡了,这周好像还把低版本的升级推送到高版本去。之前我有个 bug 的工单发官网论坛,被说成老 bug 早就修复了,结果过了几个月被挖出来还没修复。
    SingeeKing
        37
    SingeeKing   10 天前   ♥ 1
    @livid #27 @jmi 的回复中频繁出现它的网站推广
    Livid
        38
    Livid   V2EX Moderator   10 天前
    @SingeeKing 谢谢举报。那个 spam 账号已经被处理。
    SteveAlan
        39
    SteveAlan   10 天前 via iPhone
    我的也被搞过,因为自己开发忘记把 redis 端口封闭
    shellic
        40
    shellic   10 天前 via Android
    dnsaq
        41
    dnsaq   10 天前 via iPhone   ♥ 1
    都是蠕虫黑的,谁有空搞你。安全没做好要反省下自己了
    boronga
        42
    boronga   10 天前 via Android
    我是直接把用户删了
    jinliming2
        43
    jinliming2   9 天前 via iPhone
    能用 127.0.0.1 / ::1 就不要用 0.0.0.0 / ::
    能用 unix sock 就不要用 127.0.0.1 / ::1,更不要用 0.0.0.0 / ::
    unix sock 权限尽可能低,尽可能限制用户访问
    即便是没开公网访问,也要给各种服务配置强密码
    lancelot
        44
    lancelot   9 天前
    这个是 xorddos 吧,手动清除很费劲,我是用专杀工具搞定的,记得是深信服研发的。清除后记得把 ssh 端口不要设置为 22。然后开防火墙。我 linode 中过几次招。高占用 CPU 的进程的名字是 10 个字母,随机的。
    lyzy
        45
    lyzy   9 天前 via iPhone
    暂停进程 清理任务 删除生成文件 杀掉进程
    realpg
        46
    realpg   9 天前
    这种修它干啥 备份数据重装
    另外,你需要解决的是你的漏洞,而不是找后门。
    CantSee
        47
    CantSee   1 天前
    应该是没有用 crontab
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2259 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 32ms · UTC 13:49 · PVG 21:49 · LAX 05:49 · JFK 08:49
    ♥ Do have faith in what you're doing.