求问:服务器这是被服务商装了什么挖矿程序吗?

253 天前
 Reappear8835

实验室买的服务器,开机 CPU 就自动跑满(但好像自己运行程序的时候不受影响,也不占用 GPU ),发现 rc.local 里有一句“bash /usr/bin/33aa3146”, top 命令下看到也是这个 process 在占用 CPU ,kill 掉了 CPU 占用率就掉下去了。

想问下有什么手段可以检查到这个 process 在干什么吗?挖矿的话也没占用 GPU 。

1366 次点击
所在节点    问与答
12 条回复
swulling
253 天前
直接重装
32uKHwVJ179qCmPj
253 天前
别查了,直接重装,1000%有问题
Reappear8835
253 天前
补充一下,服务器断网了这个 process 就没了,CPU 也掉下去了。
imrei
253 天前
重装包治百病
hefish
253 天前
不是很熟悉 rootkit 之类的东西的话,还是直接重装吧。
记得装好系统之后,把该做的安全措施都做了。
Reappear8835
253 天前
重装是肯定的,但现在是看看有没有什么证据,因为企业服务商做这种事还挺严重的
ntedshen
253 天前
不会调试的话。。。
bin 拷下来直接丢个在线病毒分析?
磁盘整个镜像一遍回家慢慢搜罗也行。。。
cdlnls
253 天前
服务商做这种事感觉不太可能,完全是得不偿失。
cdlnls
253 天前
如果不是刚开机,啥也没操作的情况下发现的,真的建议检查一下自己有没有执行什么一键部署脚本,或者程序。排除一下有没有可能内网其他跳板机攻击的。就是要溯源,找到来源后,下一步操作才有意义。
Reappear8835
253 天前
@cdlnls
@ntedshen
@hefish
@swulling
@7v9TEc53
@imrei 好的感谢
fizzmst
253 天前
病毒+1
好奇的话可以去看看/usr/bin/33aa3146 里面文件的 md5 ,我之前碰到的就是文件名伪装成 Discord 。搜了一下 md5 发现是挖矿
Gloppy
253 天前
好像门罗币是用 cpu 挖的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1025185

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX