宇宙主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

欧基零壹微头条IP归属甄别会员请立即修改密码
查看: 1711|回复: 19

[美国VPS] 人麻了,服务器第二次被植入挖矿病毒了

[复制链接]
发表于 2024-5-2 09:53:32 | 显示全部楼层 |阅读模式
第一次是因为用户名和密码一致,然后立马改了十二位复杂密码。

https://pnr2.com/thread-1299990-1-1.html

今天登上去一看,草,top的CPU占用率50%,但是没有明显占用CPU的进程。我以为是我眼花了,然后下了个htop,一看也正常,还以为top命令出错了。后来转念一想,他吗的不会又被植入挖矿病毒了吧。

然后Google了一下,装了一个unhide,一扫,果然还有隐藏进程,而且是root用户运行的,把这些进程kill了CPU占用率就下来了。查tcp发现有几个可疑的IP:

199.247.27.41
178.128.242.134

反查域名发现绑定的域名是donate.ssl.xmrig.com,donate.v2.xmrig.com,randomx.xmrig.com。他吗的一看主域名xmrig.com就是挖矿软件下载的网站。

有没有运维高手指点一下,我这到底哪里出了漏洞?root密码是十六位的复杂密码,每个用户的密码都是十二位的密码,应该不至于被ssh爆破吧?每天心惊胆战的,ssh还在被爆破。。。
发表于 2024-5-2 09:55:19 来自手机 | 显示全部楼层
是不是服务器上运行的程序有漏洞
发表于 2024-5-2 09:58:36 来自手机 | 显示全部楼层
server0608 发表于 2024-5-2 09:55
是不是服务器上运行的程序有漏洞

我觉得多半是
发表于 2024-5-2 09:58:47 | 显示全部楼层
赶快找找原因吧!
发表于 2024-5-2 09:59:33 来自手机 | 显示全部楼层
估计是应用的漏洞 也有可能是第一次没清干净
 楼主| 发表于 2024-5-2 10:02:09 | 显示全部楼层
我也不知道啥情况啊,这种问题应该咋排查
发表于 2024-5-2 10:02:10 来自手机 | 显示全部楼层
我也中过,但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查,占用100%,压根无法ssh登陆。后面重制了服务器,并且docker控制每个容器的使用率。
发表于 2024-5-2 10:03:33 | 显示全部楼层
应该是上次干进去的时候就留下了后门吧,比如你看看/etc/password里面有没有新的用户。而且我看你装的东西也没,直接重装系统就是了
 楼主| 发表于 2024-5-2 10:03:43 | 显示全部楼层
五五哥 发表于 2024-5-2 10:02
我也中过,但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查,占用100%,压根无法s ...

难顶,我这服务器不能随便重装,数据还在上面。
发表于 2024-5-2 10:04:41 来自手机 | 显示全部楼层
我怀疑是halo的主题下载了病毒,后面没装主题就没中毒了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宇宙主机交流论坛

GMT+8, 2024-10-30 19:23 , Processed in 0.067502 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表