这是一个创建于 2430 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个-bash 进程,cpu 被拉到 200%,crontab 被加入了如下代码:
-
-
-
-
- /tmp/.scr/sn2/./-bash -d
-
-
-
在 /tmp/.scr/sn2 目录中有-bash, go, i686, x86_64 可执行文件。 每次手动杀毒后,能管当天不发作。第二天早上 7:35 分又会准时开始。
第 1 条附言 2019-04-10 12:00:08 +08:00
我目前暂时解决办法是: 防火墙禁 ip,就算病毒时时跑也拉不起 cpu 了。
该病毒会与 37.187.95.110:80 通信, ip 被禁后就拉不起来 cpu 了。
该病毒会与 37.187.95.110:80 通信, ip 被禁后就拉不起来 cpu 了。
 | 1 CEBBCAT 2019-04-10 08:40:28 +08:00 via Android 叫这个名字的可能有很多,自动“恢复”八成是还有残余,可以考虑上传 shell 代码 |
 | 2 BB0923 2019-04-10 09:51:28 +08:00 驱动人生???? |
 | 3 ThirdFlame 2019-04-10 09:55:31 +08:00 证明还有定时任务 或者 rootkit。 看一下 /etc/crontab |
 | 4 javen73 2019-04-10 10:03:16 +08:00  这个玩意儿嘛。 |
 | 6 tyit 2019-04-10 10:17:17 +08:00 via iPhone 先暂停进程,然后看这个病毒文件究竟在干嘛,执行了那些操作,照着思路去杀,不然都是瞎折腾! |
 | 7 boris1993 2019-04-10 10:28:04 +08:00 via Android 备份数据,重装系统 |
 | 8 dlsflh 2019-04-10 10:29:28 +08:00 把它的门罗地址改成自己的,也算是为自己挖矿了。 |
 | 9 insiderzzy 2019-04-10 11:47:15 +08:00 之前在腾讯云上的服务器就被挖矿了,是通过 redis 写进定时任务的。(我们把 redis 端口不小心暴露了) 然后是通过搜索,被攻击时间创建的所有文件,然后删除解决的。被攻击时间就是 crontab 被写入的时间。 |
 | 10 dontalk 2019-04-10 11:50:20 +08:00 专业杀毒,一般都是有定时任务和守护进程的。另外看下系统命令是否被替换了,这个也很重要。 可以帮你看看。 |
 | 11 deep89381 OP @insiderzzy ,通过时间搜索相关文件, 这个办法应该可行 |
 | 12 huangdayu 2019-04-10 12:02:23 +08:00 Mining Pool Online |
| 13 deep89381 OP jenkins 漏洞,最近爆发了!!! |
 | 14 yfl168648 2019-05-22 02:41:29 +08:00 我也遇到了同样的病毒。同事重启了主机后出现的。他会自动把其他占用资源的进程给杀掉。导致我们应用进程一直被 kill,后来是在 crontab 里看到有这个 /tmp/.scr/sn2/./-bash -d 我也是先手动杀了。不知道明天怎么样。 系统启动项都检查了。也没找到。 |
Select Language