1 sadwin 2020-04-18 11:32:04 +08:00 有在跑 redis 吗? 有可能是 redis 被黑了 |
2 Hurriance 2020-04-18 11:34:25 +08:00 redis 上密码 |
3 renmu 2020-04-18 11:34:25 +08:00 via Android cron 里没有?最好的方法就是重装系统 |
![]() | 4 claysec 2020-04-18 11:38:40 +08:00 没有重要东西就直接重装系统。 |
6 GGGG430 2020-04-18 11:45:57 +08:00 ![]() 首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName), 其次可以通过 alias 重命名 wget 为其他命令 |
![]() | 7 cnzjl 2020-04-18 11:48:23 +08:00 最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令 |
![]() | 8 ik 2020-04-18 13:42:34 +08:00 via iPhone ![]() 建议重装,想排查问题可以先 > /usr/bin/uvggee chmod 000 /usr/bin/uvggee chattr +i /usr/bin/uvggee 然后再排查问题 |
![]() | 9 imdong 2020-04-18 14:23:47 +08:00 ![]() 非专业,笨笨的方法: 比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息? 然后用这个 shell 替换(覆盖) wget ?? |
![]() | 10 won 2020-04-18 14:32:35 +08:00 ![]() 1 top 到进程号 2 ll 到执行位置 3 rm 掉 4 crontab 里删除,并添加一个 1 分钟守护 5 restart |
11 i999999 2020-04-18 15:20:05 +08:00 via Android ![]() 建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名 |
![]() | 12 guog 2020-04-18 15:23:14 +08:00 via Android ![]() 七天了,楼主这个问题还没解决?大家给你的方案你试过了吗 |
13 Rxianbei 2020-04-18 15:23:47 +08:00 via Android @cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查? |
14 ying5201314 OP 试过了,主要不能重装,不然早解决 |
15 ying5201314 OP 试过了,主要不能重装,不然早解决 1 @guog |
![]() | 16 defunct9 2020-04-18 17:28:34 +08:00 via iPhone 开 ssh,让我上去看看 |
![]() | 17 xupefei 2020-04-18 17:30:06 +08:00 via iPhone 还有个可能是服务器跑了 yarn 。 |
![]() | 18 Guys 2020-04-18 17:51:04 +08:00 先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去. |
![]() | 19 musi 2020-04-18 17:51:28 +08:00 你在 v2 上发个求 d 帖把那个服务器 d 挂就好了 |
![]() | 20 xingheng 2020-04-18 19:34:05 +08:00 pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。 |
![]() | 21 patx 2020-04-18 19:43:31 +08:00 发到全球 ddos 论坛上去 |
![]() | 22 JustSong 2020-04-19 00:21:38 +08:00 via Android 可以用防火墙进行限制么 |
23 Hades300 2020-04-19 07:13:04 +08:00 via Android 用 iptables drop 包就完事了 |
![]() | 24 msg7086 2020-04-19 17:49:41 +08:00 ![]() 既然能写入 /usr/bin,那说明别人已经拿到了 root 权限,那从内核到系统文件,所有的程序都可能会被换掉,你不重装难道留着过劳动节么。 |
![]() | 25 realpg PRO 我猜你是 centos |
27 zhao305149619 2020-04-21 13:40:01 +08:00 这种一般有 cron 的定时脚本,还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现,所以有时候发现把 cron 停掉之后过一会还是会出现。 |