记一次 VPS 中 xming 挖坑病毒及排查 安全

zsxwz 23/11.18 01:07 299

起因是自己VPS挂的一个服务莫名其妙自动重启了,然后ssh远程连接的时候就很卡,原以为是IP要被墙了,但是ping了一下还是很正常的。

 

1、日本节点,理论上不应该这么卡,之前也很正常,所以排除了网络问题。

 

2、事出反常必有妖,然后看了一下内存占用还算正常。

free -h

应该也不是某个软件内存突然暴涨导致的卡顿。

 

3、查看了一下后台进程,自己习惯用bashtop,当然也可以用top或者htop

https://github.com/aristocratos/bashtop

然后就看到了他妈的xming进程。这几把玩意儿相当的吃CPU,所以才导致的卡顿。

 

然后进杀了进程,删了文件。

 

 

4、这台VPS,之前也没有放什么重要东西,起初只是测试一些程序用,所以设置了一个比较简单的密码,然后被爆破了。那次之后,但是自己早就禁止密码登录改密钥登录了。。。

 

查看了系统登录日志:

/var/log/auth.log

查看历史登录情况:

last

好像都没有任何异常登录,重启vps之后也没有在跑,就没有管它了。

 

5、第二天自己的服务,又莫名其妙重启了,ssh连接上,一看果然,这个鸡儿玩意又在挖坑。。。

查看时间和上一次的一样,那应该是挂了定时任务了。

查看定时任务,却都是正常的,都是自己定的任务。

crontab -l

 

系统timer也是正常的

systemctl list-timers

 

6、然后又回头查看系统日志:

/var/log/syslog

果然发现了,系统执行过几条命令:

killall xmrig && rm -rf /root/c3pool

时间都是一样的,所以又回头查看了一下定时任务。

 

看了/etc/cron.* 几个定时任务文件夹,都没有问题。。。

 

7、应该是被放了什么定时脚本了,虽然不知道在哪里,就全文搜索了一下。

cd /etc

grep -r "c3pool"

果然发现了脚本。

当然期间还用了,clamav 扫描了一下,发现太耗时就放弃了。

 

8、在aria2目录发现脚本,和 /etc目录发现crontab定时任务文件。

我是有开aria2服务在后台,但是没有设置密码登录。

想来应该就是被扫到6800端口在用,然后也没有设置密码,然后就自动下载了文件。

 


上一篇:[廉价VPS]1c1g,不限流量,10$/y
下一篇:多播放源自动采集在线影视cms系统
最新回复 (0)
    • 姿势论坛—姿势小王子
      2
返回
发新帖
友情链接
免责声明:本站部分资源来源于网络,如有侵权请发邮件(mail@zsxwz.com)告知我们,我们将会在24小时内处理。