V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
IurNusRay
V2EX  ›  全球工单系统

疑似腾讯云主机被用来挖矿?

  •  
  •   IurNusRay · 2021-08-11 10:40:33 +08:00 · 4047 次点击
    这是一个创建于 1179 天前的主题,其中的信息可能已经有所发展或是发生改变。

    老哥们有遇到下面这种情况吗

    fNGA0g.png

    间歇性地 CPU 占满,top 查看的时候是一个随机字符串命名的进程,是不是被用来挖矿了啊。昨天已经改了 SSH 端口并且改为密钥认证了,今天还是一样,还有啥好办法防护吗

    23 条回复    2021-08-25 10:47:59 +08:00
    Quarter
        1
    Quarter  
       2021-08-11 10:44:07 +08:00
    没有重要业务的话数据备份了重装一下吧,有的话你需要深度查一下进程、文件、日志等信息,要清理到位
    IurNusRay
        2
    IurNusRay  
    OP
       2021-08-11 11:10:21 +08:00
    @Quarter 也不是啥重要业务,就是公司官网服务器,想要找到木马又不知道从何查起。。
    Puteulanus
        3
    Puteulanus  
       2021-08-11 11:10:53 +08:00
    被黑过一次的机器可能在很多不容易想到的地方留了后门,你把密码改了程序删了隔天又摸上来了
    xuxuxu123
        4
    xuxuxu123  
       2021-08-11 11:18:20 +08:00
    我腾讯云被攻过好多次,都是挖门罗币;
    用阿里云和华为云的时候就没被攻,单纯吐槽,没有贬低腾讯云的意思;
    1 、这个先查进程吧,看进程文件在哪,然后停止进程删除可执行文件;
    2 、删除文件冲重启服务器,可能还会有文件生成并且执行,那就需要深度查一下了
    suyuyu
        5
    suyuyu  
       2021-08-11 11:19:17 +08:00
    只是官网的话我觉得可以重装了
    darkengine
        6
    darkengine  
       2021-08-11 11:25:46 +08:00
    @IurNusRay 不知道怎么查起。。。起码得 ps 看看进程,crontab 看看定时任务吧
    IurNusRay
        7
    IurNusRay  
    OP
       2021-08-11 11:25:50 +08:00
    @xuxuxu123 好的,谢谢,我重启了一下服务器现在没事了,后续再观察情况吧
    Aresrun
        8
    Aresrun  
       2021-08-11 11:26:52 +08:00
    之前有一个服务器也是,杀掉进程之后 crontab 重启任务了,因为服务器上没啥东西,我就直接重装了
    IurNusRay
        9
    IurNusRay  
    OP
       2021-08-11 11:27:33 +08:00
    @darkengine 恩,这两个都看过了,进程的话不是常驻的,间歇性出现
    Greatshu
        10
    Greatshu  
       2021-08-11 11:45:29 +08:00
    重装把,记得及时安装安全更新。附挖矿病毒代码一份。
    https://gist.github.com/Ansen/13b0efacc8ed535edb8b486804e5ded4
    ditie
        11
    ditie  
       2021-08-11 11:46:36 +08:00
    ddd
    marcomarco
        12
    marcomarco  
       2021-08-11 11:46:56 +08:00 via iPhone
    遇到过的挖矿或者攻击都因为 Redis
    Sapp
        13
    Sapp  
       2021-08-11 11:47:37 +08:00
    我的腾讯云只跑了一个 adguard 的 dns 和我自己的一个 node,cpu 常年跑满,我查都懒得查直接给停了
    Tink
        14
    Tink  
       2021-08-11 12:36:57 +08:00 via Android
    格机
    wuhaoworld
        15
    wuhaoworld  
       2021-08-11 13:03:32 +08:00
    我也中招过,各种清理方法试过之后,只能短暂时间有效,过几个小时 1 天后又重新起来了,非常顽固难清理
    johnnyNg
        16
    johnnyNg  
       2021-08-11 14:36:58 +08:00
    我得之前也被破过,建议 ssh 什么的都用密钥
    Lampo1225
        17
    Lampo1225  
       2021-08-11 15:12:16 +08:00
    监控的图形来看应该是被入侵了,具体原因可以提单让安全专员分析一波儿,但是彻底清除,还是得备份数据重装。
    weak
        18
    weak  
       2021-08-11 15:13:36 +08:00 via iPhone   ❤️ 2
    这图跟 pcb 那种方波很像🌞
    lawler
        19
    lawler  
       2021-08-11 15:46:32 +08:00
    @xuxuxu123 #4 说明只有腾讯云,不“主动”扫你服务器上进程。
    streamrx
        20
    streamrx  
       2021-08-12 01:19:47 +08:00 via iPhone
    @xuxuxu123 应该是阿里云这些会自动检测并关闭掉挖矿的进程
    Kimen
        21
    Kimen  
       2021-08-12 08:47:55 +08:00
    是不是装 docker 了?
    IurNusRay
        22
    IurNusRay  
    OP
       2021-08-12 09:03:22 +08:00
    @Kimen 那倒没有装,装了 docker 也不至于占用那么高吧
    HammerZhang
        23
    HammerZhang  
       2021-08-25 10:47:59 +08:00
    以前装虚拟机时遇到过这种情况,在对学校内网开放的同时密码极其简单,之后就经常出现名字为随机字符串的进程占满 CPU,推测为被攻击,最后直接重新做一个虚拟机
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   985 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:14 · PVG 04:14 · LAX 13:14 · JFK 16:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.