有个-bash 进程,cpu 被拉到 200%,crontab 被加入了如下代码:
在 /tmp/.scr/sn2 目录中有-bash
, go
, i686
, x86_64
可执行文件。
每次手动杀毒后,能管当天不发作。第二天早上 7:35 分又会准时开始。
1
CEBBCAT 2019-04-10 08:40:28 +08:00 via Android
叫这个名字的可能有很多,自动“恢复”八成是还有残余,可以考虑上传 shell 代码
|
2
BB0923 2019-04-10 09:51:28 +08:00
驱动人生????
|
3
ThirdFlame 2019-04-10 09:55:31 +08:00
证明还有定时任务 或者 rootkit。
看一下 /etc/crontab |
4
javen73 2019-04-10 10:03:16 +08:00
这个玩意儿嘛。
|
5
zhuifeng1017 OP @javen73 , 应该都是挖矿病毒。只不过你的进程名看不到
|
6
tyit 2019-04-10 10:17:17 +08:00 via iPhone
先暂停进程,然后看这个病毒文件究竟在干嘛,执行了那些操作,照着思路去杀,不然都是瞎折腾!
|
7
boris1993 2019-04-10 10:28:04 +08:00 via Android
备份数据,重装系统
|
8
dlsflh 2019-04-10 10:29:28 +08:00
把它的门罗地址改成自己的,也算是为自己挖矿了。
|
9
insiderzzy 2019-04-10 11:47:15 +08:00
之前在腾讯云上的服务器就被挖矿了,是通过 redis 写进定时任务的。(我们把 redis 端口不小心暴露了)
然后是通过搜索,被攻击时间创建的所有文件,然后删除解决的。被攻击时间就是 crontab 被写入的时间。 |
10
dontalk 2019-04-10 11:50:20 +08:00
专业杀毒,一般都是有定时任务和守护进程的。另外看下系统命令是否被替换了,这个也很重要。 可以帮你看看。
|
11
zhuifeng1017 OP @insiderzzy ,通过时间搜索相关文件, 这个办法应该可行
|
12
huangdayu 2019-04-10 12:02:23 +08:00
Mining Pool Online
|
13
zhuifeng1017 OP jenkins 漏洞,最近爆发了!!!
|
14
yfl168648 2019-05-22 02:41:29 +08:00
我也遇到了同样的病毒。同事重启了主机后出现的。他会自动把其他占用资源的进程给杀掉。导致我们应用进程一直被 kill,后来是在 crontab 里看到有这个 /tmp/.scr/sn2/./-bash -d 我也是先手动杀了。不知道明天怎么样。
系统启动项都检查了。也没找到。 |