服务器被马了,求帮忙

我用的 windows server 跑的 redis,狂毒写入了脚本,但是跑不动 :doge

@defunct9 #32 我还以为 SSH 老哥被封了心里一紧，还好放出来了:doge:

之前服务器也出现过挖矿病毒，会有一个叫 http 的进程, cpu 直接 100% ；仔细看看进程有没有问题吧

闲的没事在 Docker 里执行了一下，用 bash -x 还原了执行过程，然后抓出来三个 binary，楼主拿着它研究一下，最近没啥时间不然我也研究一下。
三个 binary、原脚本和执行过程的输出都打包了: https://cloud.qwq.ren/s/cmcjRJSGXdTmr6f
另外扫了下这个马下载服务器的端口，发现它挺空的，估计是专用来下载马的。这个 IP 的 AS 号为 AS134520，属于 TechAvenue 公司，估计是 GigsGigsCloud 的机子 (我自己的转发机也是 GigsGigsCloud 所以很熟 233333)。你可以尝试联系服务商举报这个机子滥用来报复他一下 233333

sysupdate 似乎就是挖门罗币的 xmrig

@kangmang92 我的 redis 因为没有 root 权限,所以他没执行成功 失败了.

你用关键词 redis 挖矿 去谷歌 ,有很多案例 写的很详细,如何处理.可以参考.

@liuyi_beta 是这样,我也用这个方法分析了一下,感谢.

@imlz 应该是 redis 的问题.跟 jumpserver 不知道关系大不大

但是我 redis 监听是内网端口,无密码.机器在阿里云 vpc 内,我理解的外面的人应该是无法访问我 vpc 内网的 redis 啊,只有 jumpserver 的 web 和 ssh 有外网权限.ssh 有问题阿里云会提醒,但是并没有 ssh 相关报警.

所以怀疑是 jumpserver.这机器上没有其他的业务用了 redis,但是有在跑一个 zabbix 的 client

@xiaotianhu #46
挖矿需要啥 root 权限……
而且都成功写入 cron 了……
没执行大概是你的 cron 服务有问题

基本上这类挖矿的都不要权限，甚至大量 nobody 执行的（多见与垃圾 PHP 代码被注出来的）