这是一个创建于 280 天前的主题,其中的信息可能已经有所发展或是发生改变。
阿里云服务器,最佳频繁收到阿里云的短信和邮件,内容就是发现挖矿病毒
N 年前用 windows 时,先是折腾各种杀毒软件,后折腾各种小工具,然后换到了 linux
今天发现,linux 用户的一大缺点就是不知道怎么处理病毒……
btop 看,perfctl 占用 50%CPU ,因为双核,表示占用整个 CPU 的时间
which 还找不到可执行文件
ls -l /proc/XXX/exe 才能找到可执行文件,文件位于/tmp/.perf.c/perfctl ,不过已经被阿里云删了
尝试 kill ,会自动重启
N 年前用 windows 时,先是折腾各种杀毒软件,后折腾各种小工具,然后换到了 linux
今天发现,linux 用户的一大缺点就是不知道怎么处理病毒……
btop 看,perfctl 占用 50%CPU ,因为双核,表示占用整个 CPU 的时间
which 还找不到可执行文件
ls -l /proc/XXX/exe 才能找到可执行文件,文件位于/tmp/.perf.c/perfctl ,不过已经被阿里云删了
尝试 kill ,会自动重启
 |
1
adoal 2025 年 4 月 22 日
看看它的父进程
|
 |
2
pagxir 2025 年 4 月 22 日 via Android
实在不行就重装大法。一般不是直接 kill ,而是 stop 它,然后把父进程也一并杀掉
|
 |
3
defunct9 2025 年 4 月 22 日
开 ssh ,让我上去看看
|
 |
4
ondeay 2025 年 4 月 22 日
排查定时任务,和服务自启动,最方便的还是重装
|
 |
5
duzhuo 2025 年 4 月 22 日
搞好之后别忘了安装 fail2ban 和开启密钥登录
|
 |
6
wyntalgeer 2025 年 4 月 22 日
要找服务,这种的都是搞了个服务,在 tmp 里拷贝个分身,启动,然后自删分身。本体找到了一般没有删除权限,还要用 root 修改权限然后删掉,删掉后继续观察,如果还会出现,说明没找对,可以删了之后&&mkdir 一个同名目录防止它转生
|
 |
7
littlepigpeppa 2025 年 4 月 22 日
这头像好多年了没看到了,以前玩了几百个小时
|
 |
8
yanqiyu 2025 年 4 月 22 日
这种情况我一般建议直接重装,因为这类病毒一旦拿到权限能干的坏事不少,很难追查
|
 |
9
jardel 2025 年 4 月 23 日
linux 如果你没有做用户权限划分,并且病毒获取到了 root 建议重装系统。
|
 |
10
idragonet 2025 年 4 月 23 日
重新安装吧。
|
 |
11
myownroc 2025 年 4 月 23 日
有个守护进程吧,systemctl 之类的看看能不能查出来
|
 |
12
yinmin 2025 年 4 月 23 日 via iPhone
建议重装,新系统 ssh 关闭密码必须 key 登录,用 docker 部署所有软件,保持容器无状态(数据 volume 到宿主机),将来再次出现问题,只要对出问题容器 docker compose down 然后 up 一下就可以
|
|
13
yinmin 2025 年 4 月 23 日 via iPhone  2
接#12 docker 容器尽量基于 debian 或 ubuntu ,不推荐 alpine 。
debian/ubuntu 基础镜像默认是不含网络工具的(没有 ping 、wget 、curl 、nc 等),黑客利用漏洞入侵时往往需要用到这些工具。 alpine 基础镜像有 busybox 功能太多,有 wget 、nc 、ping 都是黑客的最爱,黑客注入 shell 入侵时会用到 wget 、nc 等工具。 |
Select Language