[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接

2022-12-19 15:31:01 +08:00
 fancy2020
系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。

htop 截图如下:




然后我用 lsof 看了下这个进程都访问了哪些文件:



这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

查了一下这个 IP 来自于法国:

8795 次点击
所在节点    程序员
45 条回复
feeloho
2022-12-21 08:59:26 +08:00
RedBeanIce
2022-12-21 13:11:43 +08:00
BIND
2022-12-21 13:14:01 +08:00
蚊子腿也是肉
NetCobra
2022-12-21 18:30:50 +08:00
为什么不把 SSH 限制为只允许内网连接呢?
TsukiMori
2022-12-21 20:07:04 +08:00
蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/903505

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX