Linux 挖矿 木马

2016-11-20 13:57:09 +08:00
 hlg002

CentOs 服务器 一直 有这个 进程(比特币挖矿程序)

kill 了马上又出现 请问 如何彻底删除它呢?

8228 次点击
所在节点    Linux
34 条回复
hlg002
2016-11-20 13:57:23 +08:00
3694 root 20 0 238m 7624 1244 S 100 0.4 39:42.89 /usr/bin/xl2tpd -B -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB -p x
hlg002
2016-11-20 14:00:53 +08:00
1 、删除、卸载了 xl2tpd ,后又会出现
2 、全盘 搜索"43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB" 字符串中
3 、 stackoverflow.com 、 github 、 google 搜了 2 小时 没发现任何有效解决方案
catror
2016-11-20 14:02:40 +08:00
看下父进程是哪个,把父进程给干了
lzmbbg
2016-11-20 14:02:43 +08:00
你的 kill 和 ls 这些都是干净的?
sudo123
2016-11-20 14:05:08 +08:00
不是挖比特币的,是挖门罗币( xmr )的,肯定装了相关的挖矿软件,卸载相关的挖矿软件试试, http://minexmr.com/#getting_started
shanks
2016-11-20 14:05:21 +08:00
= =! 还有这种东西。。
当然是看父进程啊,找到根源。。

另一种比较快捷的方法, chmod -x ...
sunsol
2016-11-20 14:15:16 +08:00
root 权限运行的,除非确定是自己装的,否则只有重装才能保证安全。
kiuyu
2016-11-20 14:27:09 +08:00
kiuyu
2016-11-20 14:28:06 +08:00
@kiuyu 不会添加链接,尴尬了
hlg002
2016-11-20 14:38:01 +08:00
@catror
@shanks 父进程是 /sbin/init


@kiuyu
@kiuyu
相关文章都尝试过了 没用啦

最后用: chmod 000 /usr/bin/xl2tpd 问题解决了 虽然 不知道问题本身在哪里 - -.
catror
2016-11-20 15:01:08 +08:00
@hlg002 点到了感谢……感觉很可能是这样的,有一个定时任务,每次调用的时候开启挖矿进程后自己就退出,然后挖矿进程就会被 init 领养…
realpg
2016-11-20 15:14:42 +08:00
连基础 linux 能力都没有 还是重装系统吧
jimzhong
2016-11-20 15:23:27 +08:00
重装系统吧
vainly
2016-11-20 15:48:47 +08:00
把它的执行权限取消了。
28ms
2016-11-20 16:41:49 +08:00
只有重装一条路
annielong
2016-11-20 17:12:54 +08:00
感觉 linux 挂马点比较少, windows 挂马的地点比较多,只是 linux 中挂载点特别熟悉的人不多,
hasdream
2016-11-20 17:47:32 +08:00
中过一次这样的
一般感染系统命令,劫持 network 服务, 处理思路:还原 network 服务文件 先系统加 i 表示的所有文件
eoo
2016-11-20 17:56:11 +08:00
肯定是安装了什么软件
hasdream
2016-11-20 20:56:44 +08:00
http://git.oschina.net/finy/temp_files/blob/master/查杀 linux 后门跑虚拟货币程序.md?dir=0&filepath=查杀 linux 后门跑虚拟货币程序.md&oid=3fa3ffe9e8b9ddc73e50b6d497f09af5d2f88615&sha=8cbea5b4d6cfd3ea91c3b096acb895bf4345f4d0
BSD
2016-11-20 21:30:55 +08:00
遇到这种问题,最好是光盘版 linux 启动后,检查已安装包的完整性和各启动脚本。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/321851

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX