服务器被挖矿程序入侵了，请教下如何抓住凶手

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2274 天前的主题，其中的信息可能已经有所发展或是发生改变。

昨晚睡觉前开心地等待训练好的模型分数上涨，结果今天看 tensorboard 竟然发现曲线没有变化，仔细看，昨晚 3 点多模型就掉了。

登陆系统，发现，原来昨晚有 root 账户登陆系统在三点半的时候，进来操作了半个小时。用的登陆 IP 是 172.18.*.*的内网 IP. 在看一下 CPU, 40 线程的系统，load average 一直在 25 左右。

看了一下进程，有一个.cnrig ( 程序 https://github.com/cnrig/cnrig)的程序竟然在挖矿，已经挖了 3 个多小时了吧。

想跟大家请教下，我能怎么抓住这次侵入的凶手呢？我能想到的，我现在知道了内网某台机器存在弱口令，另外，也许我可以找到挖矿钱包的地址。除此以外，好像也做不了什么了。还有，请问大家报警有用吗？

另外，向大家请教下，有用的防护手段，我现在用的改用密钥而不是密码登陆系统。可能采用的有：禁用 root 账户，加 fire2ban，但是内网一般是默认允许登陆的，或者加白名单。

谢谢大家了。

内网

请教

登陆

root

12 条回复 • 2018-09-07 13:47:50 +08:00

gamecreating

2018-09-07 10:24:12 +08:00

内鬼

VisionTheta

2018-09-07 10:31:26 +08:00

@gamecreating 我觉得内鬼的可能性比较小。这个服务器一直没什么人用。而且 root 账户更是没人使用。自己有自己的用户名。另外，半夜三点多操作半小时，这在过往的登陆历史中，这样的用户非常少见。

v2410117

2018-09-07 10:37:17 +08:00

这个很正常啊，你能做的就是 kill 掉程序，把机器加固，防止再次中招
之前我的机器因为 redis 没密码被挖矿，也只能自个处理了算了！毕竟这种东西 jc 怎么会管你
反正我觉得通过被入侵发现自己哪里防护不足，算是收获吧！

jjc27017

2018-09-07 10:47:06 +08:00

检查 crontab 之类的，看有没有其他后门进程，监控进程，更换 ssh 端口，用公私钥登录，开防火墙，去掉不知名的进程。需要检查的是有没有进程残留和监控进程，然后时不时留意一下 CPU 使用高的那些进程有没有异常。

VisionTheta

2018-09-07 10:50:45 +08:00

@jjc27017 我刚才看了 auth.log 发现 crontab 好像会触发 root 用户来执行用户的任务？确实是刚开 crontab 没多久，就中招了。另外，这个 auth.log 显示确实是在扫描弱口令，而且，入侵完我的机器还在扫描。另外，貌似把自己机器的密钥加进去了，还把密钥存储的位置给改了。。我觉得就是有一套工具完成这一套的流程的。。