V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fancy2020
V2EX  ›  程序员

[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接

  •  
  •   fancy2020 ·
    fanchangyong · 2022-12-19 15:31:01 +08:00 · 8806 次点击
    这是一个创建于 703 天前的主题,其中的信息可能已经有所发展或是发生改变。
    系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。

    htop 截图如下:




    然后我用 lsof 看了下这个进程都访问了哪些文件:



    这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

    查了一下这个 IP 来自于法国:

    45 条回复    2022-12-21 20:07:04 +08:00
    VYSE
        1
    VYSE  
       2022-12-19 15:36:27 +08:00   ❤️ 2
    Mining Pool Online 141.94.96.71
    shakoon
        2
    shakoon  
       2022-12-19 15:37:31 +08:00
    可能是挖矿的木马吧
    911061873
        3
    911061873  
       2022-12-19 15:38:55 +08:00
    挖矿木马实锤了
    baibing
        4
    baibing  
       2022-12-19 15:42:39 +08:00
    拿路由器的 CPU 挖,效率也太低了吧...
    jackOff
        5
    jackOff  
       2022-12-19 15:45:03 +08:00 via Android
    防火墙把 WAN 口的入站和端口转发禁掉咋样?
    apiman
        6
    apiman  
       2022-12-19 15:45:10 +08:00
    是不是开了端口转发或者端口映射?应该就是被人批量扫描到了,然后挂了东西。
    jackOff
        7
    jackOff  
       2022-12-19 15:46:18 +08:00 via Android
    还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问
    jackOff
        8
    jackOff  
       2022-12-19 15:47:12 +08:00 via Android
    当然最倒霉的是你刷的镜像就有后门
    lithiumii
        9
    lithiumii  
       2022-12-19 15:48:13 +08:00   ❤️ 2
    @baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了
    Greenm
        10
    Greenm  
       2022-12-19 15:51:22 +08:00
    路由器开公网访问了吗,是不是 SSH 被爆破进来了?

    试试恢复一下被删除的文件
    cp /proc/27399/exe /tmp/test.recover

    md5sum /tmp/test.recover

    用 virustotal 查一下这个 hash ,看看是怎么进来的
    totoro52
        11
    totoro52  
       2022-12-19 15:51:57 +08:00
    @baibing 不一定是挖矿,也有可能是消费你的流量,这种 CPU 挖出来的价值还没有消费带宽的价值高
    jackOff
        12
    jackOff  
       2022-12-19 15:53:57 +08:00 via Android
    感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了
    brader
        13
    brader  
       2022-12-19 15:55:04 +08:00
    楼主请教一下,你这个 imgur.com 的图片,发帖的时候怎么直接显示出来啊?是要怎么写,我每次都只能傻傻的贴链接。。。
    fancy2020
        14
    fancy2020  
    OP
       2022-12-19 15:56:27 +08:00
    @totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。

    系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了...

    马上去学习一下 OpenWrt 防火墙设置..
    fancy2020
        15
    fancy2020  
    OP
       2022-12-19 15:57:41 +08:00
    @brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。
    changnet
        16
    changnet  
       2022-12-19 15:58:22 +08:00
    @brader 用 markdown 格式写帖子,上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来
    brader
        17
    brader  
       2022-12-19 16:02:48 +08:00
    @fancy2020 喔喔,好的,我看到了,他的直接图片链接和页面分享链接域名不同,我就说页面上没得按钮复制
    brader
        18
    brader  
       2022-12-19 16:03:39 +08:00
    @changnet 嗯嗯,格式我知道,就是这个网站他没有直接按钮复制 markdown 链接,原来楼主自己拼的
    fancy2020
        19
    fancy2020  
    OP
       2022-12-19 16:05:21 +08:00
    我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化?
    yjim
        20
    yjim  
       2022-12-19 16:30:18 +08:00
    @brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址
    ericwood067
        21
    ericwood067  
       2022-12-19 17:24:10 +08:00
    你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。
    fancy2020
        22
    fancy2020  
    OP
       2022-12-19 17:53:31 +08:00
    @ericwood067 我是在官网 openwrt.org 下载的
    nmap
        23
    nmap  
       2022-12-19 18:25:59 +08:00   ❤️ 5
    让它挖呗,其实对你也没啥损失,经济下行大家都不容易
    xdeng
        24
    xdeng  
       2022-12-19 19:14:58 +08:00
    @nmap ???
    yaott2020
        25
    yaott2020  
       2022-12-19 21:01:24 +08:00 via Android
    ssh 建议证书登录
    hnbcinfo
        26
    hnbcinfo  
       2022-12-19 21:10:25 +08:00
    @nmap ????
    lanlandezei
        27
    lanlandezei  
       2022-12-19 21:26:45 +08:00
    我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0%
    mmdsun
        28
    mmdsun  
       2022-12-19 23:39:02 +08:00
    以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了
    WOLFRAZOR
        29
    WOLFRAZOR  
       2022-12-19 23:43:53 +08:00
    怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。
    chenyx9
        30
    chenyx9  
       2022-12-19 23:45:24 +08:00 via Android
    openwrt 的 SSH 好像是默认监听所有网络?得改成 lan
    Damn
        31
    Damn  
       2022-12-20 00:20:26 +08:00 via iPhone
    @chenyx9 但默认防火墙配置是可以保证不用改成 lan 的。。
    msg7086
        32
    msg7086  
       2022-12-20 03:10:25 +08:00
    @nmap 懂了,多出来的电费你出是吧。
    ShunYea
        33
    ShunYea  
       2022-12-20 08:28:37 +08:00
    我现在用的爱快系统,不知道会不会有上述这些问题。
    vmebeh
        34
    vmebeh  
       2022-12-20 09:10:09 +08:00
    不要把 wan 的 input 改成 accept ,需要开端口另行增加规则
    用默认配置也没问题
    Musong
        35
    Musong  
       2022-12-20 10:41:02 +08:00
    lovemail115
        36
    lovemail115  
       2022-12-20 11:24:07 +08:00
    @nmap 你干的是吧?
    iLmessi
        37
    iLmessi  
       2022-12-20 11:34:16 +08:00
    @nmap 什么菩萨
    brader
        38
    brader  
       2022-12-20 11:40:45 +08:00
    @Musong #35 这是我的一次尝试,嘿嘿
    Hant
        39
    Hant  
       2022-12-20 11:46:39 +08:00
    Hant
        40
    Hant  
       2022-12-20 11:47:33 +08:00   ❤️ 1
    发图片上传好了直接对着图片右键复制图片地址,然后回复框粘贴就好了呀。
    feeloho
        41
    feeloho  
       2022-12-21 08:59:26 +08:00
    RedBeanIce
        42
    RedBeanIce  
       2022-12-21 13:11:43 +08:00
    BIND
        43
    BIND  
       2022-12-21 13:14:01 +08:00 via Android
    蚊子腿也是肉
    NetCobra
        44
    NetCobra  
       2022-12-21 18:30:50 +08:00 via Android
    为什么不把 SSH 限制为只允许内网连接呢?
    TsukiMori
        45
    TsukiMori  
       2022-12-21 20:07:04 +08:00 via iPhone
    蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1106 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:51 · PVG 06:51 · LAX 14:51 · JFK 17:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.