[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要在回答技术问题时复制粘贴 AI 生成的内容
fancy2020
V2EX    程序员

[严重怀疑路由器系统被入侵了] 有个可疑进程把我 CPU 占满了,并建立了一个远程 TCP 连接

 
  •   fancy2020 2022-12-19 15:31:01 +08:00 9504 次点击
    这是一个创建于 1033 天前的主题,其中的信息可能已经有所发展或是发生改变。
    系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。

    htop 截图如下:




    然后我用 lsof 看了下这个进程都访问了哪些文件:



    这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)

    查了一下这个 IP 来自于法国:

    45 条回复    2022-12-21 20:07:04 +08:00
    VYSE
        1
    VYSE  
       2022-12-19 15:36:27 +08:00   2
    Mining Pool Online 141.94.96.71
    shakoon
        2
    shakoon  
       2022-12-19 15:37:31 +08:00
    可能是挖矿的木马吧
    911061873
        3
    911061873  
       2022-12-19 15:38:55 +08:00
    挖矿木马实锤了
    baibing
        4
    baibing  
       2022-12-19 15:42:39 +08:00
    拿路由器的 CPU 挖,效率也太低了吧...
    jackOff
        5
    jackOff  
       2022-12-19 15:45:03 +08:00 via Android
    防火墙把 WAN 口的入站和端口转发禁掉咋样?
    apiman
        6
    apiman  
       2022-12-19 15:45:10 +08:00
    是不是开了端口转发或者端口映射?应该就是被批量扫描到了,然后挂了东西。
    jackOff
        7
    jackOff  
       2022-12-19 15:46:18 +08:00 via Android
    还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问
    jackOff
        8
    jackOff  
       2022-12-19 15:47:12 +08:00 via Android
    当然最倒霉的是你刷的镜像就有后门
    lithiumii
        9
    lithiumii  
       2022-12-19 15:48:13 +08:00   2
    @baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了
    Greenm
        10
    Greenm  
       2022-12-19 15:51:22 +08:00
    路由器开公网访问了吗,是不是 SSH 被爆破进来了?

    试试恢复一下被删除的文件
    cp /proc/27399/exe /tmp/test.recover

    md5sum /tmp/test.recover

    用 virustotal 查一下这个 hash ,看看是怎么进来的
    MIUIOS
        11
    MIUIOS  
       2022-12-19 15:51:57 +08:00
    @baibing 不一定是挖矿,也有可能是消费你的流量,这种 CPU 挖出来的价值还没有消费带宽的价值高
    jackOff
        12
    jackOff  
       2022-12-19 15:53:57 +08:00 via Android
    感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了
    brader
        13
    brader  
       2022-12-19 15:55:04 +08:00
    楼主请教一下,你这个 imgur.com 的图片,发帖的时候怎么直接显示出来啊?是要怎么写,我每次都只能傻傻的贴链接。。。
    fancy2020
        14
    fancy2020  
    OP
       2022-12-19 15:56:27 +08:00
    @totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。

    系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了...

    马上去学习一下 OpenWrt 防火墙设置..
    fancy2020
        15
    fancy2020  
    OP
       2022-12-19 15:57:41 +08:00
    @brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。
    changnet
        16
    changnet  
       2022-12-19 15:58:22 +08:00
    @brader 用 markdown 格式写帖子,上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来
    brader
        17
    brader  
       2022-12-19 16:02:48 +08:00
    @fancy2020 喔喔,好的,我看到了,他的直接图片链接和页面分享链接域名不同,我就说页面上没得按钮复制
    brader
        18
    brader  
       2022-12-19 16:03:39 +08:00
    @changnet 嗯嗯,格式我知道,就是这个网站他没有直接按钮复制 markdown 链接,原来楼主自己拼的
    fancy2020
        19
    fancy2020  
    OP
       2022-12-19 16:05:21 +08:00
    我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化?
    yjim
        20
    yjim  
       2022-12-19 16:30:18 +08:00
    @brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址
    ericwood067
        21
    ericwood067  
       2022-12-19 17:24:10 +08:00
    你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。
    fancy2020
        22
    fancy2020  
    OP
       2022-12-19 17:53:31 +08:00
    @ericwood067 我是在官网 openwrt.org 下载的
    nmap
        23
    nmap  
       2022-12-19 18:25:59 +08:00   5
    让它挖呗,其实对你也没啥损失,经济下行大家都不容易
    xdeng
        24
    xdeng  
       2022-12-19 19:14:58 +08:00
    @nmap ???
    yaott2020
        25
    yaott2020  
       2022-12-19 21:01:24 +08:00 via Android
    ssh 建议证书登录
    hnbcinfo
        26
    hnbcinfo  
       2022-12-19 21:10:25 +08:00
    @nmap ????
    lanlandezei
        27
    lanlandezei  
       2022-12-19 21:26:45 +08:00
    我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0%
    mmdsun
        28
    mmdsun  
       2022-12-19 23:39:02 +08:00
    以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了
    WOLFRAZOR
        29
    WOLFRAZOR  
       2022-12-19 23:43:53 +08:00
    怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。
    chenyx9
        30
    chenyx9  
       2022-12-19 23:45:24 +08:00 via Android
    openwrt 的 SSH 好像是默认监听所有网络?得改成 lan
    Damn
        31
    Damn  
       2022-12-20 00:20:26 +08:00 via iPhone
    @chenyx9 但默认防火墙配置是可以保证不用改成 lan 的。。
    msg7086
        32
    msg7086  
       2022-12-20 03:10:25 +08:00
    @nmap 懂了,多出来的电费你出是吧。
    ShunYea
        33
    ShunYea  
       2022-12-20 08:28:37 +08:00
    我现在用的爱快系统,不知道会不会有上述这些问题。
    vmebeh
        34
    vmebeh  
       2022-12-20 09:10:09 +08:00
    不要把 wan 的 input 改成 accept ,需要开端口另行增加规则
    用默认配置也没问题
    Musong
        35
    Musong  
       2022-12-20 10:41:02 +08:00
    lovemail115
        36
    lovemail115  
       2022-12-20 11:24:07 +08:00
    @nmap 你干的是吧?
    iLmessi
        37
    iLmessi  
       2022-12-20 11:34:16 +08:00
    @nmap 什么菩萨
    brader
        38
    brader  
       2022-12-20 11:40:45 +08:00
    @Musong #35 这是我的一次尝试,嘿嘿
    Hant
        39
    Hant  
       2022-12-20 11:46:39 +08:00
    Hant
        40
    Hant  
       2022-12-20 11:47:33 +08:00   1
    发图片上传好了直接对着图片右键复制图片地址,然后回复框粘贴就好了呀。
    feeloho
        41
    feeloho  
       2022-12-21 08:59:26 +08:00
    RedBeanIce
        42
    RedBeanIce  
       2022-12-21 13:11:43 +08:00
    BIND
        43
    BIND  
       2022-12-21 13:14:01 +08:00 via Android
    蚊子腿也是肉
    NetCobra
        44
    NetCobra  
       2022-12-21 18:30:50 +08:00 via Android
    为什么不把 SSH 限制为只允许内网连接呢?
    TsukiMori
        45
    TsukiMori  
       2022-12-21 20:07:04 +08:00 via iPhone
    蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2820 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 858ms UTC 06:49 PVG 14:49 LAX 23:49 JFK 02:49
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86