被挖矿的搞了。。

• 資深大佬 : sunziren

  把服务器插头一拔。doge：

• 資深大佬 : TORYOI

  切换到 www 用户再查看 crontab -l

• 主 資深大佬 : qwertyzzz

  @TORYOI 打开了 var/tmp/cron 把下面的文件都删了现在。

• 主 資深大佬 : qwertyzzz

  @TORYOI var/spool/cron

• 資深大佬 : TORYOI

  如果网站还没关闭能访问，可能是网站程序有漏洞还没修复
  用了框架的话查下是不是框架有安全漏洞要修复

• 主 資深大佬 : qwertyzzz

  @TORYOI 切换成 www 看到那个定时任务了。。我看说是 redis 的服务 我直接卸载了

  https://blog.csdn.net/weiwoyonzhe/article/details/103727788

• 資深大佬 : TORYOI

  @qwertyzzz
  查到漏洞就好
  哎，这些令人头疼的挖矿木马

• 主 資深大佬 : qwertyzzz

  @TORYOI 说 redis 的是这个
  https://blog.csdn.net/weixin_43970890/article/details/103857487

  目前暂时没问题了 多亏让切到 www 看 之前一直没找到 3q

• 主 資深大佬 : qwertyzzz

  @TORYOI 说完又来了。。

• 資深大佬 : TORYOI

  @qwertyzzz 那比较大的可能是网站程序问题了。。。

• 主 資深大佬 : qwertyzzz

  @TORYOI 是啊。。把关联进程全删了 好像有 php-fpm mysql 然后重启了下看看 估计等等还会有

• 資深大佬 : oneisall8955

  主解决了写一下，之前我的是很简单就解决的，看了下估计你的不简单

• 資深大佬 : TORYOI

  @qwertyzzz 如果可以关闭网站，可以先关闭网站访问再修复，然后再看看 http 请求日志有没异常

• 主 資深大佬 : qwertyzzz

  @oneisall8955 @TORYOI 使用的宝塔面板，解决方法 基本和前面贴的链接一样 就是查看 crontab 的时候切 www 用户才看到那个的，然后 redis 我给卸载了 ，之后 php-fpm 和 mysql 因为好像也关联到了 也杀了进程 重启了 目前暂时没问题 不知道哪还会有

• 資深大佬 : zhaorunze

  我也被搞了两次，一摸一样的进程名

• 主 資深大佬 : qwertyzzz

  @zhaorunze 不知道咋被感染的 怀疑是 redis

• 資深大佬 : yuexuan

  我们公司服务器也是,有个同事把 redis 用 0.0.0.0 启动的, 后面换成 127 了, 然后上了阿里的防火墙, 就好了

• 資深大佬 : yuexuan

  登录上去之后, 用 wegt 偷偷下载脚本,然后启动定时程序

• 主 資深大佬 : qwertyzzz

  @yuexuan 我用的 127 密码是简单点。。

• 資深大佬 : Msxx

  我之前也有类似高负载经历，但按理说挖矿应该是 24 小时不停的。我那负载却是白天高，到了晚上 11 点-早上 8 点 9 点就闲下来了。而且不是 www，是 mysql 的占用。奇怪~

• 資深大佬 : WFMS

  最近站内说被搞的都有一条前提项宝塔 是用户基数太大 还是真的有问题 我也在用 纯粹为了省事

• 資深大佬 : Guys

  这种先把循环任务找到 用 pid 把占用多的进程先暂停 然后再弄 我之前遇到过两次

• 資深大佬 : yydcl

  有快照的话，还原呗

• 資深大佬 : des

  @Guys 这种挖矿的用 wget curl 比较多，我之前遇到的，先把这两个删了，回头再装回来

• 資深大佬 : diaosi

  看 web log，看看他是怎么拿到权限的。
  redis 会在你 ssh 里写公钥，找找看有没有陌生的。

• 資深大佬 : Guys

  @des 这是循环任务 直接杀掉或者删的不干净 会反弹的，所以先暂停 然后找到根删掉，这是我以前遇到过的来源路径
  http://45.55.211.79/.cache/jenkins/2/z1.sh

• 資深大佬 : jmi

  我的也挨过，传送门 [SPAM LINK REMOVED]

• 資深大佬 : trout

  @jmi 这网站有病毒？

• 資深大佬 : z775781

  @yuexuan 改为 127 他也不安全，假设一个场景，有人拿到你 shell，内核比较新的话无法通过 exp 提权，那就只能通过服务提权了，如果恰好 redis 配置文件可读，就可以反弹 shell 直接连接你的 redis 提权了

• 資深大佬 : dream7758522

  反其道而行之，我的服务器挺闲的，如何装个挖矿软件？赚赚零花钱。

• 資深大佬 : Dongxilemo

  都是厉害的家伙

• 資深大佬 : yuexuan

  @dream7758522 云服务器内网扫描端口号? 查看别人服务器端口号漏洞?

• 資深大佬 : JoeoooLAI

  最近好多人都发帖说被挖矿的搞了。。。。啊。。看来没人看得上我那单核的小鸡

• 資深大佬 : dallaslu

  建议把服务迁走，这台就重置了吧。

• 資深大佬 : dream7758522

  @yuexuan 你没看懂我的意思，我意思是有没有第三方运营的合法挖矿软件，挖矿费用也好结算。然后给自己的机器装上，平常机器都闲着，赚点零花钱

• 資深大佬 : Mac

  @WFMS 就图个方便而已，防火墙还是要上的。另外宝塔官网的运维太扯淡了，这周好像还把低版本的升级推送到高版本去。之前我有个 bug 的工单发官网论坛，被说成老 bug 早就修复了，结果过了几个月被挖出来还没修复。

• 資深大佬 : SingeeKing

  @livid #27 @jmi 的回复中频繁出现它的网站推广

• 資深大佬 : Livid

  @SingeeKing 谢谢举报。那个 spam 账号已经被处理。

• 資深大佬 : SteveAlan

  我的也被搞过，因为自己开发忘记把 redis 端口封闭

• 資深大佬 : shellic

  @SteveAlan +1

• 資深大佬 : dnsaq

  都是蠕虫黑的，谁有空搞你。安全没做好要反省下自己了

• 資深大佬 : boronga

  我是直接把用户删了

• 資深大佬 : jinliming2

  能用 127.0.0.1 / ::1 就不要用 0.0.0.0 / ::
  能用 unix sock 就不要用 127.0.0.1 / ::1，更不要用 0.0.0.0 / ::
  unix sock 权限尽可能低，尽可能限制用户访问
  即便是没开公网访问，也要给各种服务配置强密码

• 資深大佬 : lancelot

  这个是 xorddos 吧，手动清除很费劲，我是用专杀工具搞定的，记得是深信服研发的。清除后记得把 ssh 端口不要设置为 22。然后开防火墙。我 linode 中过几次招。高占用 CPU 的进程的名字是 10 个字母，随机的。

• 資深大佬 : lyzy

  暂停进程 清理任务 删除生成文件 杀掉进程

• 資深大佬 : realpg

  这种修它干啥 备份数据重装
  另外，你需要解决的是你的漏洞，而不是找后门。