V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Reappear8835
V2EX  ›  问与答

求问:服务器这是被服务商装了什么挖矿程序吗?

  •  
  •   Reappear8835 · 124 天前 · 1230 次点击
    这是一个创建于 124 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实验室买的服务器,开机 CPU 就自动跑满(但好像自己运行程序的时候不受影响,也不占用 GPU ),发现 rc.local 里有一句“bash /usr/bin/33aa3146”, top 命令下看到也是这个 process 在占用 CPU ,kill 掉了 CPU 占用率就掉下去了。

    想问下有什么手段可以检查到这个 process 在干什么吗?挖矿的话也没占用 GPU 。

    12 条回复    2024-03-20 13:21:46 +08:00
    swulling
        1
    swulling  
       124 天前 via iPhone
    直接重装
    7v9TEc53
        2
    7v9TEc53  
       124 天前
    别查了,直接重装,1000%有问题
    Reappear8835
        3
    Reappear8835  
    OP
       124 天前
    补充一下,服务器断网了这个 process 就没了,CPU 也掉下去了。
    imrei
        4
    imrei  
       124 天前
    重装包治百病
    hefish
        5
    hefish  
       124 天前
    不是很熟悉 rootkit 之类的东西的话,还是直接重装吧。
    记得装好系统之后,把该做的安全措施都做了。
    Reappear8835
        6
    Reappear8835  
    OP
       124 天前
    重装是肯定的,但现在是看看有没有什么证据,因为企业服务商做这种事还挺严重的
    ntedshen
        7
    ntedshen  
       124 天前
    不会调试的话。。。
    bin 拷下来直接丢个在线病毒分析?
    磁盘整个镜像一遍回家慢慢搜罗也行。。。
    cdlnls
        8
    cdlnls  
       124 天前
    服务商做这种事感觉不太可能,完全是得不偿失。
    cdlnls
        9
    cdlnls  
       124 天前
    如果不是刚开机,啥也没操作的情况下发现的,真的建议检查一下自己有没有执行什么一键部署脚本,或者程序。排除一下有没有可能内网其他跳板机攻击的。就是要溯源,找到来源后,下一步操作才有意义。
    Reappear8835
        10
    Reappear8835  
    OP
       124 天前
    fizzmst
        11
    fizzmst  
       123 天前 via iPhone
    病毒+1
    好奇的话可以去看看/usr/bin/33aa3146 里面文件的 md5 ,我之前碰到的就是文件名伪装成 Discord 。搜了一下 md5 发现是挖矿
    Gloppy
        12
    Gloppy  
       123 天前 via iPhone
    好像门罗币是用 cpu 挖的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1723 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 959ms · UTC 16:23 · PVG 00:23 · LAX 09:23 · JFK 12:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.