宇宙主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

欧基零壹微头条IP归属甄别会员请立即修改密码
查看: 4660|回复: 11

[lighttpd] 怀疑猫池挖矿有病毒

[复制链接]
发表于 2021-3-29 14:14:01 | 显示全部楼层 |阅读模式
本帖最后由 2293310198 于 2021-3-29 14:15 编辑

今日发现cpu占用过高
使用top命令查看kswapd0
    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                              
   1571 nas       20   0 2739764   5120   2684 S 198.0   0.1  46:03.12 kswapd0     

查看进程ll /proc/1571
-r--r--r--  1 nas nas 0 Mar 29 13:57 arch_status
dr-xr-xr-x  2 nas nas 0 Mar 29 13:57 attr
-rw-r--r--  1 nas nas 0 Mar 29 13:57 autogroup
-r--------  1 nas nas 0 Mar 29 13:57 auxv
-r--r--r--  1 nas nas 0 Mar 29 13:57 cgroup
--w-------  1 nas nas 0 Mar 29 13:57 clear_refs
-r--r--r--  1 nas nas 0 Mar 29 13:55 cmdline
-rw-r--r--  1 nas nas 0 Mar 29 13:57 comm
-rw-r--r--  1 nas nas 0 Mar 29 13:57 coredump_filter
-r--r--r--  1 nas nas 0 Mar 29 13:57 cpuset
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 cwd -> /
-r--------  1 nas nas 0 Mar 29 13:55 environ
lrwxrwxrwx  1 nas nas 0 Mar 29 13:55 exe -> /home/nas/.configrc/a/kswapd0
dr-x------  2 nas nas 0 Mar 29 13:57 fd
dr-x------  2 nas nas 0 Mar 29 13:57 fdinfo
-rw-r--r--  1 nas nas 0 Mar 29 13:57 gid_map
-r--------  1 nas nas 0 Mar 29 13:57 io
-r--r--r--  1 nas nas 0 Mar 29 13:57 limits
-rw-r--r--  1 nas nas 0 Mar 29 13:57 loginuid
dr-x------  2 nas nas 0 Mar 29 13:57 map_files
-r--r--r--  1 nas nas 0 Mar 29 13:57 maps
-rw-------  1 nas nas 0 Mar 29 13:57 mem
-r--r--r--  1 nas nas 0 Mar 29 13:57 mountinfo
-r--r--r--  1 nas nas 0 Mar 29 13:57 mounts
-r--------  1 nas nas 0 Mar 29 13:57 mountstats
dr-xr-xr-x 59 nas nas 0 Mar 29 13:57 net
dr-x--x--x  2 nas nas 0 Mar 29 13:57 ns
-r--r--r--  1 nas nas 0 Mar 29 13:57 numa_maps
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_adj
-r--r--r--  1 nas nas 0 Mar 29 13:57 oom_score
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_score_adj
-r--------  1 nas nas 0 Mar 29 13:57 pagemap
-r--------  1 nas nas 0 Mar 29 13:57 patch_state
-r--------  1 nas nas 0 Mar 29 13:57 personality
-rw-r--r--  1 nas nas 0 Mar 29 13:57 projid_map
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 root -> /
-rw-r--r--  1 nas nas 0 Mar 29 13:57 sched
-r--r--r--  1 nas nas 0 Mar 29 13:57 schedstat
-r--r--r--  1 nas nas 0 Mar 29 13:57 sessionid
-rw-r--r--  1 nas nas 0 Mar 29 13:57 setgroups
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps_rollup
-r--------  1 nas nas 0 Mar 29 13:57 stack
-r--r--r--  1 nas nas 0 Mar 29 13:55 stat
-r--r--r--  1 nas nas 0 Mar 29 13:55 statm
-r--r--r--  1 nas nas 0 Mar 29 13:55 status
-r--------  1 nas nas 0 Mar 29 13:57 syscall
dr-xr-xr-x 10 nas nas 0 Mar 29 13:57 task
-rw-r--r--  1 nas nas 0 Mar 29 13:57 timens_offsets
-r--r--r--  1 nas nas 0 Mar 29 13:57 timers
-rw-rw-rw-  1 nas nas 0 Mar 29 13:57 timerslack_ns
-rw-r--r--  1 nas nas 0 Mar 29 13:57 uid_map
-r--r--r--  1 nas nas 0 Mar 29 13:57 wchan

/root/.configrc/*病毒所在目录/root/.ssh/病毒公钥/tmp/.X25-unix/.rsync/*病毒运行缓存文件/tmp/.X25-unix/dota3.tar.gz病毒压缩包/root/.configrc/a/kswapd0  病毒主程序==========病毒相关计划任务==========1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1@reboot /root/.configrc/a/upd>/dev/null 2>&15 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1@reboot /root/.configrc/b/sync>/dev/null 2>&10 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1====================================


根据百度所说,此病毒为爆破方式传播,然而种病毒的是nas。。。没有公网ip。除了存一些我上传的电影,没有别的东西。。。
最近的高危行为就只是前几天刚接触到猫池,一激动跑了一下一键脚本,后发现占用太高给关了
发表于 2021-3-29 14:16:35 | 显示全部楼层
注册会员都会挖矿了 谁给我也来个保姆教程啊
发表于 2021-3-29 14:17:40 | 显示全部楼层
一般小鸡只干一件事,如果不干了  就重装  不存在中毒
发表于 2021-3-29 14:19:53 | 显示全部楼层
3L说的对,直接dd
发表于 2021-3-29 14:24:35 | 显示全部楼层
我是默认它有毒的,重置新系统运行。这台小鸡也别想干其他事了,不挖了在重置回来。
发表于 2021-3-29 14:28:38 | 显示全部楼层
你不卸载当然还会继续挖啊,再说nas上为啥不虚拟个Debian来挖做好快照,我虚拟的Debian感觉瞎折腾直接快照回滚了
发表于 2021-3-29 14:29:09 | 显示全部楼层
我已经换地方了,猫池太低了
发表于 2021-3-29 15:05:11 | 显示全部楼层
破论坛早晚药丸 发表于 2021-3-29 14:29
我已经换地方了,猫池太低了

大佬哪个更高?
发表于 2021-3-29 15:09:15 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2021-3-29 15:35:36 | 显示全部楼层
用脚本?你怎么不怀疑脚本有后门。这个本身就是个挖矿病毒,只不过你本来就是要挖矿的,我也不知道是你挖还是别人挖。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宇宙主机交流论坛

GMT+8, 2024-10-30 13:31 , Processed in 0.061004 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表