博客主页 😞
标签

木马

下的文章

Blog:

火喵博客・日记本
又中毒???奇怪的[xri]病毒快速处理记录
10月24日-记就只隔了一天,正在线上呢,突然看到21:00的时候cpu和负载又100%了,心想着不会又是上次那个吧,内存没变化说明又是一个挖矿病毒。但是就在我打算照旧登录SSH的时候,傻眼了,SSH密码错误!!!赶紧用腾讯云的快速登录,还是不行!!显示如下——简单说就是无效的密码。百度之后网友说,可能是端口没放行。那是发生在一开始用服务器的阶段。我这用着用着进不去,cpu占用率还是100%,明摆着就是被改了。用winscp也登录不进去,只好重启试试。重启之后这下可好,宝塔面板都进不去了,但是还好putty顺利的进去了,赶紧top一下命令看看哈哈哈还好,不是上次那个,但是还好找到了。老一套kill -9 [PID] //PID是top里查看的crontab -l crontab -r然后手动定位到那个文件夹,发现病毒还在,下载到电脑里,尝试用火绒测试一下——出现了,百度搜不到的,名为xri的病毒。重启服务器之后,cpu降下来了,宝塔也变快了,输入新的root密码之后,在宝塔终端面板看到,一个来自荷兰的IP,在尝试了176次之后,终于暴力试出了我的root弱密码——1234写完博客到现在,一切正常,在此记录一下。{lamp/}10月26日-记绝了,还在对我坚持不懈的试探密码!!哭了(ó﹏ò。)现在已经换掉了SSH端口了!哼!
中毒了! 服务器挖矿木马[kthreaddi],但是莫名解决了
昨晚兴致勃勃的部署好了MC,今早一看,cpu 100% 负载 100% ,心想不应该啊,于是抱着想看看是什么占用100%,是被人家攻击了还是中毒了,虽然觉得后者根本不可能,但是就是好奇,打开了ssh,运行了top,傻眼了——这是什么啊,kthreaddi?然后就百度了一下,大标题映入眼帘——服务器挖矿木马好家伙!查看了一下宝塔监控,从夜里3:40就开始疯狂输出了,那会都在睡觉,绝对是恶意的攻击,并非是昨晚我瞎整的java有恶意代码。于是着手解决吧,百度顺着链接就点开了——kill -9 [PID] //PID是top里查看的虽然进程消失了,但是他会自动重启,然后迅速的再次占领高地。根据百度到的提示,查看一下端口netstat -ltnp什么888,22都是认识的,但是多了一个不知名的52239?端口,还有莫名的路径和PID,猜测应该是这个程序专门来启动病毒的。但是问题是无论是在腾讯云的放行端口防火墙,还是宝塔的安全面板,都没有放行这个端口,这就很疑惑了,就算同时kill这两个PID也依旧会自动重启。crontab -l查看到了一只莫名的定时任务,并有文件的链接(没截图,文件名是六位字母数字随机组合,着急解决问题了,,顺着文件目录用winscp找下去,并没有找到这个文件,再次crontab -l,文件路径竟然变了。迅速的手速将他下载下来,在windows上用火绒查杀了一下,果然是木马病毒。{card-describe title="火绒报告"}病毒名:Trojan/CoinMiner.fa病毒ID:dc250bb45c51aaf{/card-describe}既然解决不掉那就找centos的杀毒程序吧,但是又不想太麻烦,就去宝塔的自动任务差杀木马,结果并没有什么卵用。又去了宝塔论坛,结果看到了这个这就很气人了,于是再次运行crontab -l crontab -r直接删除任务计划,然后kill掉那两个PID(kthreaddi和启动他的程序)然后玄学的来了,前几次并不会有效果,他依旧会自动重启,但是在某一次运行crontab -l后,显示了这个[root]# crontab -l no crontab for root通常来说如果什么都不显示,他还是会反复重启,但是这次写的no crontab,果然就没有自动重启了,而且netstat -ltnp也没有那个奇怪的端口了,就这样莫名的解决了。博文写完了,这时候再看下面板监控没毛病了你的服务器中过病毒么?
萌ICP备20210005号 辽ICP备2021005644号-1 辽公网安备 21021102000984号 本站已运行 2 年 202 天 13 小时 29 分 51统计 百度统计 自豪地使用 Typecho 建站,并搭配 MyDiary 主题 Copyright © 2020 ~ 2022. 火喵博客・日记本 All rights reserved.
历史足迹
分类目录
  • 日常
  • 晒物
  • 🦙 代码
  • 🏗️ 建站
  • 📷 生活