全球主机交流论坛

标题: 人麻了，服务器第二次被植入挖矿病毒了 [打印本页]

作者: wyjistest 时间: 2024-5-2 09:53
标题: 人麻了，服务器第二次被植入挖矿病毒了
第一次是因为用户名和密码一致，然后立马改了十二位复杂密码。

https://hostloc.gdisk.cf/thread-1299990-1-1.html

今天登上去一看，草，top的CPU占用率50%，但是没有明显占用CPU的进程。我以为是我眼花了，然后下了个htop，一看也正常，还以为top命令出错了。后来转念一想，他吗的不会又被植入挖矿病毒了吧。

然后Google了一下，装了一个unhide，一扫，果然还有隐藏进程，而且是root用户运行的，把这些进程kill了CPU占用率就下来了。查tcp发现有几个可疑的IP：

199.247.27.41
178.128.242.134

反查域名发现绑定的域名是donate.ssl.xmrig.com，donate.v2.xmrig.com，randomx.xmrig.com。他吗的一看主域名xmrig.com就是挖矿软件下载的网站。

有没有运维高手指点一下，我这到底哪里出了漏洞？root密码是十六位的复杂密码，每个用户的密码都是十二位的密码，应该不至于被ssh爆破吧？每天心惊胆战的，ssh还在被爆破。。。

作者: server0608 时间: 2024-5-2 09:55
是不是服务器上运行的程序有漏洞

作者: 五五哥 时间: 2024-5-2 09:58

server0608 发表于 2024-5-2 09:55
是不是服务器上运行的程序有漏洞

我觉得多半是

作者: 暖风 时间: 2024-5-2 09:58
赶快找找原因吧！

作者: sujiax 时间: 2024-5-2 09:59
估计是应用的漏洞也有可能是第一次没清干净

作者: wyjistest 时间: 2024-5-2 10:02
我也不知道啥情况啊，这种问题应该咋排查

作者: 五五哥 时间: 2024-5-2 10:02
我也中过，但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查，占用100%，压根无法ssh登陆。后面重制了服务器，并且docker控制每个容器的使用率。

作者: wellknown 时间: 2024-5-2 10:03
应该是上次干进去的时候就留下了后门吧，比如你看看/etc/password里面有没有新的用户。而且我看你装的东西也没，直接重装系统就是了

作者: wyjistest 时间: 2024-5-2 10:03

五五哥发表于 2024-5-2 10:02
我也中过，但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查，占用100%，压根无法s ...

难顶，我这服务器不能随便重装，数据还在上面。

作者: 五五哥 时间: 2024-5-2 10:04
我怀疑是halo的主题下载了病毒，后面没装主题就没中毒了

作者: 姊姊 时间: 2024-5-2 10:07
建议使用密钥登录

作者: 似毛非毛 时间: 2024-5-2 10:08
你上次被入侵没重装？改了个密码就完事了？

作者: 随便起个名字 时间: 2024-5-2 10:13

姊姊发表于 2024-5-2 10:07
建议使用密钥登录

应用漏洞和登录没啥关系

作者: wyjistest 时间: 2024-5-2 10:13

似毛非毛发表于 2024-5-2 10:08
你上次被入侵没重装？改了个密码就完事了？

上次入侵的用户不是sudoer，改了个密码就完事了。然后用fail2ban拉黑了一大堆ssh爆破的IP。

作者: Sam_Edward 时间: 2024-5-2 10:18
用密钥登录就好了，其他登录方式禁止掉

作者: wyjistest 时间: 2024-5-2 10:19

Sam_Edward 发表于 2024-5-2 10:18
用密钥登录就好了，其他登录方式禁止掉

再看看，要有第三次就用密钥登录好了。

作者: crussh 时间: 2024-5-2 10:21
换成密钥，如果还有问题就是程序漏洞

作者: henjk 时间: 2024-5-2 10:25
我深有体会啊，当初我的传家宝的沪日6t，也不知道是商家乱编说我拿机器攻击，还是是真的被黑。然后就清退了我，气都气死

作者: icon 时间: 2024-5-2 10:46
楼上一堆张口就来不懂装懂的。。。
人家都root进来了，只是一个改密码改密钥登录的事？

作者: atbaidu 时间: 2024-5-2 10:58
迁移数据，重装系统吧。大概率是被留后门了

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)