这是一个创建于 2058 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个-bash 进程,cpu 被拉到 200%,crontab 被加入了如下代码:
-
-
-
-
- /tmp/.scr/sn2/./-bash -d
-
-
-
在 /tmp/.scr/sn2 目录中有-bash, go, i686, x86_64 可执行文件。
每次手动杀毒后,能管当天不发作。第二天早上 7:35 分又会准时开始。
第 1 条附言 · 2019-04-10 12:00:08 +08:00
我目前暂时解决办法是: 防火墙禁 ip,就算病毒时时跑也拉不起 cpu 了。
该病毒会与 37.187.95.110:80 通信, ip 被禁后就拉不起来 cpu 了。
该病毒会与 37.187.95.110:80 通信, ip 被禁后就拉不起来 cpu 了。
 |
1
CEBBCAT 2019-04-10 08:40:28 +08:00 via Android
叫这个名字的可能有很多,自动“恢复”八成是还有残余,可以考虑上传 shell 代码
|
 |
2
BB0923 2019-04-10 09:51:28 +08:00
驱动人生????
|
 |
3
ThirdFlame 2019-04-10 09:55:31 +08:00
证明还有定时任务 或者 rootkit。
看一下 /etc/crontab |
 |
4
javen73 2019-04-10 10:03:16 +08:00
 这个玩意儿嘛。 |
 |
5
zhuifeng1017 OP @javen73 , 应该都是挖矿病毒。只不过你的进程名看不到
|
 |
6
tyit 2019-04-10 10:17:17 +08:00 via iPhone
先暂停进程,然后看这个病毒文件究竟在干嘛,执行了那些操作,照着思路去杀,不然都是瞎折腾!
|
 |
7
boris1993 2019-04-10 10:28:04 +08:00 via Android
备份数据,重装系统
|
 |
8
dlsflh 2019-04-10 10:29:28 +08:00
把它的门罗地址改成自己的,也算是为自己挖矿了。
|
 |
9
insiderzzy 2019-04-10 11:47:15 +08:00
之前在腾讯云上的服务器就被挖矿了,是通过 redis 写进定时任务的。(我们把 redis 端口不小心暴露了)
然后是通过搜索,被攻击时间创建的所有文件,然后删除解决的。被攻击时间就是 crontab 被写入的时间。 |
 |
10
dontalk 2019-04-10 11:50:20 +08:00
专业杀毒,一般都是有定时任务和守护进程的。另外看下系统命令是否被替换了,这个也很重要。 可以帮你看看。
|
|
11
zhuifeng1017 OP @insiderzzy ,通过时间搜索相关文件, 这个办法应该可行
|
 |
12
huangdayu 2019-04-10 12:02:23 +08:00
Mining Pool Online
|
|
13
zhuifeng1017 OP jenkins 漏洞,最近爆发了!!!
|
 |
14
yfl168648 2019-05-22 02:41:29 +08:00
我也遇到了同样的病毒。同事重启了主机后出现的。他会自动把其他占用资源的进程给杀掉。导致我们应用进程一直被 kill,后来是在 crontab 里看到有这个 /tmp/.scr/sn2/./-bash -d 我也是先手动杀了。不知道明天怎么样。
系统启动项都检查了。也没找到。 |
Select Language