[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接
fancy2020 · fanchangyong · 2022-12-19 15:31:01 +08:00 · 8772 次点击这是一个创建于 687 天前的主题,其中的信息可能已经有所发展或是发生改变。
系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。
htop 截图如下:
然后我用 lsof 看了下这个进程都访问了哪些文件:
这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)
查了一下这个 IP 来自于法国:
htop 截图如下:
然后我用 lsof 看了下这个进程都访问了哪些文件:
这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)
查了一下这个 IP 来自于法国:
45 条回复 • 2022-12-21 20:07:04 +08:00
 |
1
VYSE 2022-12-19 15:36:27 +08:00  2
Mining Pool Online 141.94.96.71
|
 |
2
shakoon 2022-12-19 15:37:31 +08:00
可能是挖矿的木马吧
|
 |
3
911061873 2022-12-19 15:38:55 +08:00
挖矿木马实锤了
|
 |
4
baibing 2022-12-19 15:42:39 +08:00
拿路由器的 CPU 挖,效率也太低了吧...
|
 |
5
jackOff 2022-12-19 15:45:03 +08:00 via Android
防火墙把 WAN 口的入站和端口转发禁掉咋样?
|
 |
6
apiman 2022-12-19 15:45:10 +08:00
是不是开了端口转发或者端口映射?应该就是被人批量扫描到了,然后挂了东西。
|
|
7
jackOff 2022-12-19 15:46:18 +08:00 via Android
还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问
|
|
8
jackOff 2022-12-19 15:47:12 +08:00 via Android
当然最倒霉的是你刷的镜像就有后门
|
 |
9
lithiumii 2022-12-19 15:48:13 +08:00 2
@baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了
|
 |
10
Greenm 2022-12-19 15:51:22 +08:00
路由器开公网访问了吗,是不是 SSH 被爆破进来了?
试试恢复一下被删除的文件 cp /proc/27399/exe /tmp/test.recover md5sum /tmp/test.recover 用 virustotal 查一下这个 hash ,看看是怎么进来的 |
|
12
jackOff 2022-12-19 15:53:57 +08:00 via Android
感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了
|
 |
14
fancy2020 OP @totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。
系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了... 马上去学习一下 OpenWrt 防火墙设置.. |
|
15
fancy2020 OP @brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。
|
 |
16
changnet 2022-12-19 15:58:22 +08:00
@brader 用 markdown 格式写帖子,上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来
|
|
19
fancy2020 OP 我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化?
|
 |
20
yjim 2022-12-19 16:30:18 +08:00
@brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址
|
 |
21
ericwood067 2022-12-19 17:24:10 +08:00
你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。
|
|
22
fancy2020 OP @ericwood067 我是在官网 openwrt.org 下载的
|
 |
23
nmap 2022-12-19 18:25:59 +08:00 5
让它挖呗,其实对你也没啥损失,经济下行大家都不容易
|
 |
25
yaott2020 2022-12-19 21:01:24 +08:00 via Android
ssh 建议证书登录
|
 |
27
lanlandezei 2022-12-19 21:26:45 +08:00
我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0%
|
 |
28
mmdsun 2022-12-19 23:39:02 +08:00
以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了
|
 |
29
WOLFRAZOR 2022-12-19 23:43:53 +08:00
怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。
|
 |
30
chenyx9 2022-12-19 23:45:24 +08:00 via Android
openwrt 的 SSH 好像是默认监听所有网络?得改成 lan
|
 |
33
ShunYea 2022-12-20 08:28:37 +08:00
我现在用的爱快系统,不知道会不会有上述这些问题。
|
 |
34
vmebeh 2022-12-20 09:10:09 +08:00
不要把 wan 的 input 改成 accept ,需要开端口另行增加规则
用默认配置也没问题 |
 |
35
Musong 2022-12-20 10:41:02 +08:00
|
 |
36
lovemail115 2022-12-20 11:24:07 +08:00
@nmap 你干的是吧?
|
 |
39
Hant 2022-12-20 11:46:39 +08:00
 |
|
40
Hant 2022-12-20 11:47:33 +08:00 1
发图片上传好了直接对着图片右键复制图片地址,然后回复框粘贴就好了呀。
 |
 |
41
feeloho 2022-12-21 08:59:26 +08:00
|
 |
42
RedBeanIce 2022-12-21 13:11:43 +08:00
|
 |
43
BIND 2022-12-21 13:14:01 +08:00 via Android
蚊子腿也是肉
|
 |
44
NetCobra 2022-12-21 18:30:50 +08:00 via Android
为什么不把 SSH 限制为只允许内网连接呢?
|
 |
45
TsukiMori 2022-12-21 20:07:04 +08:00 via iPhone
蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险
|
Select Language