1
Yinz 2016-12-07 15:17:54 +08:00 2
检查一下 ps 有没有被动手脚替换了或者修改了?
|
4
9hills 2016-12-07 15:42:54 +08:00
这个程序,挖矿的时候也不说限制下 cpu 。。活该被发现啊
|
5
lgpqdwjh 2016-12-07 18:52:48 +08:00
一般来讲, ps top 都会被改, 帮朋友处理过好多次了- -
|
6
skylancer 2016-12-07 20:09:49 +08:00
绝大多数这种情况都会被改 ps 和 top 的
|
7
ixinshang 2016-12-07 20:45:16 +08:00 via Android
其实我想问 怎么挖
|
8
est 2016-12-07 21:07:18 +08:00
|
9
momi 2016-12-07 21:23:32 +08:00
https://github.com/xelerance/xl2tpd
URL : https://www.xelerance.com/software/xl2tpd/ Summary : Layer 2 Tunnelling Protocol Daemon (RFC 2661) 只要装了 NetworkManager ,这个包就会被安装,通过 systemd-network 启动的。。。。 如果木马真的修改了 ps 、 top 之类的程序,那它肯定也会自我隐藏,你根本看不到的,牛 B 的木马,就算你从干净系统里搞一个静态链接的 ps 过去,也查不到,只能使用 livecd 之类的引导之后挂上硬盘再检查系统文件完整性,找出它。。。 |
10
eoo 2016-12-07 22:25:32 +08:00 via Android
学习学习
|
11
leakless 2016-12-07 22:41:36 +08:00
这种情况下先检查系统命令是否被做了手脚
要是系统命令都被做了手脚。。备份一下重装吧 |
13
jon 2016-12-08 00:31:45 +08:00
怎么被黑的?
|
15
abc123ccc 2016-12-08 09:14:29 +08:00
我也觉得只能重新安装系统了。
|
16
Balthild 2016-12-08 09:23:36 +08:00 via Android
@momi xl2tpd 是一個 VPN 服務端,正常情況下不會佔用那麼高的 CPU ,用 ps 也能看到進程。因此應當是偽裝的。
|
17
qunl 2016-12-08 09:34:44 +08:00
学习学习
|
18
Yechs 2016-12-08 10:24:35 +08:00
[root@aliyun~]# xl2tpd -V
cpuminer 2.3.3 built on Jul 1 2016 features: x86_64 SSE2 AVX AVX2 XOP libcurl/7.16.4 OpenSSL/1.0.1t zlib/1.2.8 |
19
wbangin 2016-12-08 11:09:05 +08:00
xl2tpd 是 l2tp vpn 的程序名,你这个是挖矿程序,被别人中了马用来挖矿?
|
20
stormpeach 2016-12-08 13:34:11 +08:00
一般这种情况木马是替换 ps 源程序还是就加个别名之类的?
|
21
wuxqing OP 是伪装成 xl2tpd 的挖矿程序
ps 文件被替换了,不是别名 初步判断是通过 redis 入侵的 |
22
Mdrights 2016-12-09 10:59:13 +08:00 via iPhone
問下,如果卸載了 Dbus 的話,是不是所有 daemon 都運行不了了?
|