![]() | 1 VYSE 2022-12-19 15:36:27 +08:00 ![]() Mining Pool Online 141.94.96.71 |
![]() | 2 shakoon 2022-12-19 15:37:31 +08:00 可能是挖矿的木马吧 |
![]() | 3 911061873 2022-12-19 15:38:55 +08:00 挖矿木马实锤了 |
4 baibing 2022-12-19 15:42:39 +08:00 拿路由器的 CPU 挖,效率也太低了吧... |
5 jackOff 2022-12-19 15:45:03 +08:00 via Android 防火墙把 WAN 口的入站和端口转发禁掉咋样? |
![]() | 6 apiman 2022-12-19 15:45:10 +08:00 是不是开了端口转发或者端口映射?应该就是被批量扫描到了,然后挂了东西。 |
7 jackOff 2022-12-19 15:46:18 +08:00 via Android 还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问 |
8 jackOff 2022-12-19 15:47:12 +08:00 via Android 当然最倒霉的是你刷的镜像就有后门 |
![]() | 9 lithiumii 2022-12-19 15:48:13 +08:00 ![]() @baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了 |
10 Greenm 2022-12-19 15:51:22 +08:00 路由器开公网访问了吗,是不是 SSH 被爆破进来了? 试试恢复一下被删除的文件 cp /proc/27399/exe /tmp/test.recover md5sum /tmp/test.recover 用 virustotal 查一下这个 hash ,看看是怎么进来的 |
12 jackOff 2022-12-19 15:53:57 +08:00 via Android 感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了 |
14 fancy2020 OP @totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。 系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了... 马上去学习一下 OpenWrt 防火墙设置.. |
15 fancy2020 OP @brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。 |
![]() | 16 changnet 2022-12-19 15:58:22 +08:00 @brader 用 markdown 格式写帖子,上传图片的时候选 markdown 的链接复制到帖子上应该就会自动显示出来 |
19 fancy2020 OP 我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化? |
20 yjim 2022-12-19 16:30:18 +08:00 @brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址 |
![]() | 21 ericwood067 2022-12-19 17:24:10 +08:00 你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。 |
22 fancy2020 OP @ericwood067 我是在官网 openwrt.org 下载的 |
![]() | 23 nmap 2022-12-19 18:25:59 +08:00 ![]() 让它挖呗,其实对你也没啥损失,经济下行大家都不容易 |
![]() | 25 yaott2020 2022-12-19 21:01:24 +08:00 via Android ssh 建议证书登录 |
27 lanlandezei 2022-12-19 21:26:45 +08:00 我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0% |
![]() | 28 mmdsun 2022-12-19 23:39:02 +08:00 以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了 |
![]() | 29 WOLFRAZOR 2022-12-19 23:43:53 +08:00 怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。 |
30 chenyx9 2022-12-19 23:45:24 +08:00 via Android openwrt 的 SSH 好像是默认监听所有网络?得改成 lan |
![]() | 33 ShunYea 2022-12-20 08:28:37 +08:00 我现在用的爱快系统,不知道会不会有上述这些问题。 |
![]() | 34 vmebeh 2022-12-20 09:10:09 +08:00 不要把 wan 的 input 改成 accept ,需要开端口另行增加规则 用默认配置也没问题 |
![]() | 35 Musong 2022-12-20 10:41:02 +08:00 |
36 lovemail115 2022-12-20 11:24:07 +08:00 @nmap 你干的是吧? |
![]() | 39 Hant 2022-12-20 11:46:39 +08:00 |
![]() | 40 Hant 2022-12-20 11:47:33 +08:00 ![]() |
41 feeloho 2022-12-21 08:59:26 +08:00 |
![]() | 42 RedBeanIce 2022-12-21 13:11:43 +08:00 |
43 BIND 2022-12-21 13:14:01 +08:00 via Android 蚊子腿也是肉 |
44 NetCobra 2022-12-21 18:30:50 +08:00 via Android 为什么不把 SSH 限制为只允许内网连接呢? |
![]() | 45 TsukiMori 2022-12-21 20:07:04 +08:00 via iPhone 蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险 |