[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了，并建立了一个远程 TCP 连接

请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 1244 days ago, the information mentioned may be changed or developed.

系统是 OpenWrt 22 ，最近网络不太稳定，上去看了下 top,发现有个进程占满了全部 CPU ，kill 之后会立即自动启动。

htop 截图如下：

然后我用 lsof 看了下这个进程都访问了哪些文件：

这就更加可疑了，它的执行文件被删除了: /root/kworker\\6:4-events (deleted)，然后还开了一个连接到这个 IP：TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

查了一下这个 IP 来自于法国：

TCP

进程

CPU

141.94.96.71

45 replies 2022-12-21 20:07:04 +08:00

VYSE

Dec 19, 2022

Mining Pool Online 141.94.96.71

shakoon

Dec 19, 2022

可能是挖矿的木马吧

911061873

Dec 19, 2022

挖矿木马实锤了

baibing

Dec 19, 2022

拿路由器的 CPU 挖，效率也太低了吧...

jackOff

Dec 19, 2022 via Android

防火墙把 WAN 口的入站和端口转发禁掉咋样？

apiman

Dec 19, 2022

是不是开了端口转发或者端口映射？应该就是被人批量扫描到了，然后挂了东西。

jackOff

Dec 19, 2022 via Android

还有记得把 SSH 端口改一下，默认密码改掉，最好改成只能内网访问

jackOff

Dec 19, 2022 via Android

当然最倒霉的是你刷的镜像就有后门

lithiumii

Dec 19, 2022

@baibing 挖矿病毒讲究一个以量取胜，反正都是受害者付电费，一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百，黑个二三十台就抵过高端桌面 CPU 了

Greenm

Dec 19, 2022

路由器开公网访问了吗，是不是 SSH 被爆破进来了？

试试恢复一下被删除的文件
cp /proc/27399/exe /tmp/test.recover

md5sum /tmp/test.recover

用 virustotal 查一下这个 hash ，看看是怎么进来的

MIUIOS

Dec 19, 2022

@baibing 不一定是挖矿，也有可能是消费你的流量，这种 CPU 挖出来的价值还没有消费带宽的价值高

jackOff

Dec 19, 2022 via Android

感觉有点像网心云这种模式的黑客版本，虽然网心云也不干净就是了

brader

Dec 19, 2022

楼主请教一下，你这个 imgur.com 的图片，发帖的时候怎么直接显示出来啊？是要怎么写，我每次都只能傻傻的贴链接。。。

fancy2020

Dec 19, 2022

@totoro52 看起来只是 CPU 跑满了，但网络流量并没升高，应该大概率是挖矿了。

系统已经用 PVE 的备份还原掉了，那应该就是我的防火墙策略有问题，再加上 root 密码太简单(可能默认是没有密码...)被远程植入了...

马上去学习一下 OpenWrt 防火墙设置..

fancy2020

Dec 19, 2022

@brader 我在 imgur 上上传图片，然后在浏览器的开发者 debug console 窗口查询到这个图片的链接，然后复制过来的。。

changnet

Dec 19, 2022

@brader 用 markdown 格式写帖子，上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来

brader

Dec 19, 2022

@fancy2020 喔喔，好的，我看到了，他的直接图片链接和页面分享链接域名不同，我就说页面上没得按钮复制

brader

Dec 19, 2022

@changnet 嗯嗯，格式我知道，就是这个网站他没有直接按钮复制 markdown 链接，原来楼主自己拼的

fancy2020

Dec 19, 2022

我把原来带毒的系统又恢复了一下，启动之后发现那些异常进程不见了，难道它这个不能持久化？

yjim

Dec 19, 2022

@brader 上传完右键图片点复制图片地址，粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了如果不是，刷新 imgur 的页面再右键图片，复制图片地址

ericwood067

Dec 19, 2022

你是自己编译的、官网下载的，还是第三方编译的系统？如果是任何第三方编译的，最好换个系统，防止故意留后门。

fancy2020

Dec 19, 2022

@ericwood067 我是在官网 openwrt.org 下载的

nmap

Dec 19, 2022

让它挖呗，其实对你也没啥损失，经济下行大家都不容易

46fo

Dec 19, 2022

@nmap ？？？

yaott2020

Dec 19, 2022 via Android

ssh 建议证书登录

hnbcinfo

Dec 19, 2022

@nmap ？？？？

lanlandezei

Dec 19, 2022

我的 N1 OPENWRT 昨天也被扫了，CPU10%-20% 一直有欧洲 IP 的 TCP 连接，赶紧改下端口映射，CPU 就正常了 0%

mmdsun

Dec 19, 2022

以前家里华硕路由器 wan 口开一天就被挖矿了，密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了

WOLFRAZOR

Dec 19, 2022

怀疑挖矿，赶紧掐掉 SSH ，由受害者支付电费和网费。设备废了是小问题，但是个人安全是大问题。

chenyx9

Dec 19, 2022 via Android

openwrt 的 SSH 好像是默认监听所有网络？得改成 lan

Damn

Dec 20, 2022 via iPhone

@chenyx9 但默认防火墙配置是可以保证不用改成 lan 的。。

msg7086

Dec 20, 2022

@nmap 懂了，多出来的电费你出是吧。

ShunYea

Dec 20, 2022

我现在用的爱快系统，不知道会不会有上述这些问题。

vmebeh

Dec 20, 2022

不要把 wan 的 input 改成 accept ，需要开端口另行增加规则
用默认配置也没问题

Musong

Dec 20, 2022

@brader #13 https://chrome.google.com/webstore/detail/v2ex-plus/daeclijmnojoemooblcbfeeceopnkolo
这个方便

lovemail115

Dec 20, 2022

@nmap 你干的是吧？

iLmessi

Dec 20, 2022

@nmap 什么菩萨

brader

Dec 20, 2022

@Musong #35 这是我的一次尝试，嘿嘿

Hant

Dec 20, 2022

Hant

Dec 20, 2022

发图片上传好了直接对着图片右键复制图片地址，然后回复框粘贴就好了呀。

feeloho

Dec 21, 2022

RedBeanIce

Dec 21, 2022

BIND

Dec 21, 2022 via Android

蚊子腿也是肉

NetCobra

Dec 21, 2022 via Android

为什么不把 SSH 限制为只允许内网连接呢？

TsukiMori

Dec 21, 2022 via iPhone

蹲我 OpenWrt 直接禁止 wan 的入站和转发只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放不知道有没有风险