服务器被挖矿程序入侵了，请教下如何抓住凶手

昨晚睡觉前开心地等待训练好的模型分数上涨，结果今天看 tensorboard 竟然发现曲线没有变化，仔细看，昨晚 3 点多模型就掉了。

登陆系统，发现，原来昨晚有 root 账户登陆系统在三点半的时候，进来操作了半个小时。用的登陆 IP 是 172.18.*.*的内网 IP. 在看一下 CPU, 40 线程的系统，load average 一直在 25 左右。

看了一下进程，有一个.cnrig ( 程序 https://github.com/cnrig/cnrig)的程序竟然在挖矿，已经挖了 3 个多小时了吧。

想跟大家请教下，我能怎么抓住这次侵入的凶手呢？我能想到的，我现在知道了内网某台机器存在弱口令，另外，也许我可以找到挖矿钱包的地址。除此以外，好像也做不了什么了。还有，请问大家报警有用吗？

另外，向大家请教下，有用的防护手段，我现在用的改用密钥而不是密码登陆系统。可能采用的有：禁用 root 账户，加 fire2ban，但是内网一般是默认允许登陆的，或者加白名单。

谢谢大家了。

VisionTheta

2018-09-07 10:31:26 +08:00

@gamecreating 我觉得内鬼的可能性比较小。这个服务器一直没什么人用。而且 root 账户更是没人使用。自己有自己的用户名。另外，半夜三点多操作半小时，这在过往的登陆历史中，这样的用户非常少见。

v2410117

2018-09-07 10:37:17 +08:00

这个很正常啊，你能做的就是 kill 掉程序，把机器加固，防止再次中招
之前我的机器因为 redis 没密码被挖矿，也只能自个处理了算了！毕竟这种东西 jc 怎么会管你
反正我觉得通过被入侵发现自己哪里防护不足，算是收获吧！

jjc27017

2018-09-07 10:47:06 +08:00

检查 crontab 之类的，看有没有其他后门进程，监控进程，更换 ssh 端口，用公私钥登录，开防火墙，去掉不知名的进程。需要检查的是有没有进程残留和监控进程，然后时不时留意一下 CPU 使用高的那些进程有没有异常。

VisionTheta

2018-09-07 10:50:45 +08:00

@jjc27017 我刚才看了 auth.log 发现 crontab 好像会触发 root 用户来执行用户的任务？确实是刚开 crontab 没多久，就中招了。另外，这个 auth.log 显示确实是在扫描弱口令，而且，入侵完我的机器还在扫描。另外，貌似把自己机器的密钥加进去了，还把密钥存储的位置给改了。。我觉得就是有一套工具完成这一套的流程的。。

yanyuechuixue

2018-09-07 12:13:33 +08:00

看下钱包地址是不是矿池的，如果是，就联系下矿池看看能不能获取他的联系方式或封掉他。

如果不是矿池，
google 搜索一下这个地址看看有没有啥发现。

如果什么发现都没有，就监控这个地址，看他和哪些地址坐了交易，然后去查那些地址。

也许我还年轻，遇到这种事就像不惜代价玩死他

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/487005

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.