V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zhuifeng1017
V2EX  ›  问与答

有谁遇到过`-bash`挖矿病毒吗?

  •  
  •   zhuifeng1017 · 2019-04-10 08:28:08 +08:00 · 5659 次点击
    这是一个创建于 2079 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有个-bash 进程,cpu 被拉到 200%,crontab 被加入了如下代码:

            • /tmp/.scr/sn2/./-bash -d

    在 /tmp/.scr/sn2 目录中有-bash, go, i686, x86_64 可执行文件。 每次手动杀毒后,能管当天不发作。第二天早上 7:35 分又会准时开始。

    第 1 条附言  ·  2019-04-10 12:00:08 +08:00
    我目前暂时解决办法是: 防火墙禁 ip,就算病毒时时跑也拉不起 cpu 了。
    该病毒会与 37.187.95.110:80 通信, ip 被禁后就拉不起来 cpu 了。
    14 条回复    2019-05-22 02:41:29 +08:00
    CEBBCAT
        1
    CEBBCAT  
       2019-04-10 08:40:28 +08:00 via Android
    叫这个名字的可能有很多,自动“恢复”八成是还有残余,可以考虑上传 shell 代码
    BB0923
        2
    BB0923  
       2019-04-10 09:51:28 +08:00
    驱动人生????
    ThirdFlame
        3
    ThirdFlame  
       2019-04-10 09:55:31 +08:00
    证明还有定时任务 或者 rootkit。
    看一下 /etc/crontab
    javen73
        4
    javen73  
       2019-04-10 10:03:16 +08:00
    这个玩意儿嘛。
    zhuifeng1017
        5
    zhuifeng1017  
    OP
       2019-04-10 10:10:46 +08:00
    @javen73 , 应该都是挖矿病毒。只不过你的进程名看不到
    tyit
        6
    tyit  
       2019-04-10 10:17:17 +08:00 via iPhone
    先暂停进程,然后看这个病毒文件究竟在干嘛,执行了那些操作,照着思路去杀,不然都是瞎折腾!
    boris1993
        7
    boris1993  
       2019-04-10 10:28:04 +08:00 via Android
    备份数据,重装系统
    dlsflh
        8
    dlsflh  
       2019-04-10 10:29:28 +08:00
    把它的门罗地址改成自己的,也算是为自己挖矿了。
    insiderzzy
        9
    insiderzzy  
       2019-04-10 11:47:15 +08:00
    之前在腾讯云上的服务器就被挖矿了,是通过 redis 写进定时任务的。(我们把 redis 端口不小心暴露了)
    然后是通过搜索,被攻击时间创建的所有文件,然后删除解决的。被攻击时间就是 crontab 被写入的时间。
    dontalk
        10
    dontalk  
       2019-04-10 11:50:20 +08:00
    专业杀毒,一般都是有定时任务和守护进程的。另外看下系统命令是否被替换了,这个也很重要。 可以帮你看看。
    zhuifeng1017
        11
    zhuifeng1017  
    OP
       2019-04-10 11:53:27 +08:00
    @insiderzzy ,通过时间搜索相关文件, 这个办法应该可行
    huangdayu
        12
    huangdayu  
       2019-04-10 12:02:23 +08:00
    Mining Pool Online
    zhuifeng1017
        13
    zhuifeng1017  
    OP
       2019-04-12 17:22:58 +08:00
    jenkins 漏洞,最近爆发了!!!
    yfl168648
        14
    yfl168648  
       2019-05-22 02:41:29 +08:00
    我也遇到了同样的病毒。同事重启了主机后出现的。他会自动把其他占用资源的进程给杀掉。导致我们应用进程一直被 kill,后来是在 crontab 里看到有这个 /tmp/.scr/sn2/./-bash -d 我也是先手动杀了。不知道明天怎么样。
    系统启动项都检查了。也没找到。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1009 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:02 · PVG 04:02 · LAX 12:02 · JFK 15:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.