[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接

2022-12-19 15:31:01 +08:00
 fancy2020
系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。

htop 截图如下:




然后我用 lsof 看了下这个进程都访问了哪些文件:



这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

查了一下这个 IP 来自于法国:

8795 次点击
所在节点    程序员
45 条回复
VYSE
2022-12-19 15:36:27 +08:00
Mining Pool Online 141.94.96.71
shakoon
2022-12-19 15:37:31 +08:00
可能是挖矿的木马吧
911061873
2022-12-19 15:38:55 +08:00
挖矿木马实锤了
baibing
2022-12-19 15:42:39 +08:00
拿路由器的 CPU 挖,效率也太低了吧...
jackOff
2022-12-19 15:45:03 +08:00
防火墙把 WAN 口的入站和端口转发禁掉咋样?
apiman
2022-12-19 15:45:10 +08:00
是不是开了端口转发或者端口映射?应该就是被人批量扫描到了,然后挂了东西。
jackOff
2022-12-19 15:46:18 +08:00
还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问
jackOff
2022-12-19 15:47:12 +08:00
当然最倒霉的是你刷的镜像就有后门
lithiumii
2022-12-19 15:48:13 +08:00
@baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了
Greenm
2022-12-19 15:51:22 +08:00
路由器开公网访问了吗,是不是 SSH 被爆破进来了?

试试恢复一下被删除的文件
cp /proc/27399/exe /tmp/test.recover

md5sum /tmp/test.recover

用 virustotal 查一下这个 hash ,看看是怎么进来的
totoro52
2022-12-19 15:51:57 +08:00
@baibing 不一定是挖矿,也有可能是消费你的流量,这种 CPU 挖出来的价值还没有消费带宽的价值高
jackOff
2022-12-19 15:53:57 +08:00
感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了
brader
2022-12-19 15:55:04 +08:00
楼主请教一下,你这个 imgur.com 的图片,发帖的时候怎么直接显示出来啊?是要怎么写,我每次都只能傻傻的贴链接。。。
fancy2020
2022-12-19 15:56:27 +08:00
@totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。

系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了...

马上去学习一下 OpenWrt 防火墙设置..
fancy2020
2022-12-19 15:57:41 +08:00
@brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。
changnet
2022-12-19 15:58:22 +08:00
@brader 用 markdown 格式写帖子,上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来
brader
2022-12-19 16:02:48 +08:00
@fancy2020 喔喔,好的,我看到了,他的直接图片链接和页面分享链接域名不同,我就说页面上没得按钮复制
brader
2022-12-19 16:03:39 +08:00
@changnet 嗯嗯,格式我知道,就是这个网站他没有直接按钮复制 markdown 链接,原来楼主自己拼的
fancy2020
2022-12-19 16:05:21 +08:00
我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化?
yjim
2022-12-19 16:30:18 +08:00
@brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/903505

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX