[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接

2022-12-19 15:31:01 +08:00
 fancy2020
系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。

htop 截图如下:




然后我用 lsof 看了下这个进程都访问了哪些文件:



这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

查了一下这个 IP 来自于法国:

8546 次点击
所在节点    程序员
45 条回复
ericwood067
2022-12-19 17:24:10 +08:00
你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。
fancy2020
2022-12-19 17:53:31 +08:00
@ericwood067 我是在官网 openwrt.org 下载的
nmap
2022-12-19 18:25:59 +08:00
让它挖呗,其实对你也没啥损失,经济下行大家都不容易
xdeng
2022-12-19 19:14:58 +08:00
@nmap ???
yaott2020
2022-12-19 21:01:24 +08:00
ssh 建议证书登录
hnbcinfo
2022-12-19 21:10:25 +08:00
@nmap ????
lanlandezei
2022-12-19 21:26:45 +08:00
我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0%
mmdsun
2022-12-19 23:39:02 +08:00
以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了
WOLFRAZOR
2022-12-19 23:43:53 +08:00
怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。
chenyx9
2022-12-19 23:45:24 +08:00
openwrt 的 SSH 好像是默认监听所有网络?得改成 lan
Damn
2022-12-20 00:20:26 +08:00
@chenyx9 但默认防火墙配置是可以保证不用改成 lan 的。。
msg7086
2022-12-20 03:10:25 +08:00
@nmap 懂了,多出来的电费你出是吧。
ShunYea
2022-12-20 08:28:37 +08:00
我现在用的爱快系统,不知道会不会有上述这些问题。
vmebeh
2022-12-20 09:10:09 +08:00
不要把 wan 的 input 改成 accept ,需要开端口另行增加规则
用默认配置也没问题
Musong
2022-12-20 10:41:02 +08:00
@brader #13 https://chrome.google.com/webstore/detail/v2ex-plus/daeclijmnojoemooblcbfeeceopnkolo
这个方便
lovemail115
2022-12-20 11:24:07 +08:00
@nmap 你干的是吧?
iLmessi
2022-12-20 11:34:16 +08:00
@nmap 什么菩萨
brader
2022-12-20 11:40:45 +08:00
@Musong #35 这是我的一次尝试,嘿嘿
Hant
2022-12-20 11:46:39 +08:00
Hant
2022-12-20 11:47:33 +08:00
发图片上传好了直接对着图片右键复制图片地址,然后回复框粘贴就好了呀。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/903505

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX