V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
hlg002
V2EX  ›  Linux

Linux 挖矿 木马

  •  
  •   hlg002 · 2016-11-20 13:57:09 +08:00 · 8231 次点击
    这是一个创建于 2927 天前的主题,其中的信息可能已经有所发展或是发生改变。

    CentOs 服务器 一直 有这个 进程(比特币挖矿程序)

    kill 了马上又出现 请问 如何彻底删除它呢?

    34 条回复    2016-11-23 14:02:48 +08:00
    hlg002
        1
    hlg002  
    OP
       2016-11-20 13:57:23 +08:00
    3694 root 20 0 238m 7624 1244 S 100 0.4 39:42.89 /usr/bin/xl2tpd -B -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB -p x
    hlg002
        2
    hlg002  
    OP
       2016-11-20 14:00:53 +08:00
    1 、删除、卸载了 xl2tpd ,后又会出现
    2 、全盘 搜索"43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB" 字符串中
    3 、 stackoverflow.com 、 github 、 google 搜了 2 小时 没发现任何有效解决方案
    catror
        3
    catror  
       2016-11-20 14:02:40 +08:00 via Android   ❤️ 1
    看下父进程是哪个,把父进程给干了
    lzmbbg
        4
    lzmbbg  
       2016-11-20 14:02:43 +08:00   ❤️ 1
    你的 kill 和 ls 这些都是干净的?
    sudo123
        5
    sudo123  
       2016-11-20 14:05:08 +08:00   ❤️ 1
    不是挖比特币的,是挖门罗币( xmr )的,肯定装了相关的挖矿软件,卸载相关的挖矿软件试试, http://minexmr.com/#getting_started
    shanks
        6
    shanks  
       2016-11-20 14:05:21 +08:00   ❤️ 1
    = =! 还有这种东西。。
    当然是看父进程啊,找到根源。。

    另一种比较快捷的方法, chmod -x ...
    sunsol
        7
    sunsol  
       2016-11-20 14:15:16 +08:00   ❤️ 1
    root 权限运行的,除非确定是自己装的,否则只有重装才能保证安全。
    kiuyu
        8
    kiuyu  
       2016-11-20 14:27:09 +08:00   ❤️ 1
    kiuyu
        9
    kiuyu  
       2016-11-20 14:28:06 +08:00   ❤️ 1
    @kiuyu 不会添加链接,尴尬了
    hlg002
        10
    hlg002  
    OP
       2016-11-20 14:38:01 +08:00   ❤️ 1
    @catror
    @shanks 父进程是 /sbin/init


    @kiuyu
    @kiuyu
    相关文章都尝试过了 没用啦

    最后用: chmod 000 /usr/bin/xl2tpd 问题解决了 虽然 不知道问题本身在哪里 - -.
    catror
        11
    catror  
       2016-11-20 15:01:08 +08:00 via Android   ❤️ 1
    @hlg002 点到了感谢……感觉很可能是这样的,有一个定时任务,每次调用的时候开启挖矿进程后自己就退出,然后挖矿进程就会被 init 领养…
    realpg
        12
    realpg  
       2016-11-20 15:14:42 +08:00   ❤️ 1
    连基础 linux 能力都没有 还是重装系统吧
    jimzhong
        13
    jimzhong  
       2016-11-20 15:23:27 +08:00   ❤️ 1
    重装系统吧
    vainly
        14
    vainly  
       2016-11-20 15:48:47 +08:00   ❤️ 1
    把它的执行权限取消了。
    28ms
        15
    28ms  
       2016-11-20 16:41:49 +08:00   ❤️ 1
    只有重装一条路
    annielong
        16
    annielong  
       2016-11-20 17:12:54 +08:00   ❤️ 1
    感觉 linux 挂马点比较少, windows 挂马的地点比较多,只是 linux 中挂载点特别熟悉的人不多,
    hasdream
        17
    hasdream  
       2016-11-20 17:47:32 +08:00 via Android   ❤️ 1
    中过一次这样的
    一般感染系统命令,劫持 network 服务, 处理思路:还原 network 服务文件 先系统加 i 表示的所有文件
    eoo
        18
    eoo  
       2016-11-20 17:56:11 +08:00 via Android   ❤️ 1
    肯定是安装了什么软件
    hasdream
        19
    hasdream  
       2016-11-20 20:56:44 +08:00   ❤️ 1
    http://git.oschina.net/finy/temp_files/blob/master/查杀 linux 后门跑虚拟货币程序.md?dir=0&filepath=查杀 linux 后门跑虚拟货币程序.md&oid=3fa3ffe9e8b9ddc73e50b6d497f09af5d2f88615&sha=8cbea5b4d6cfd3ea91c3b096acb895bf4345f4d0
    BSD
        20
    BSD  
       2016-11-20 21:30:55 +08:00   ❤️ 1
    遇到这种问题,最好是光盘版 linux 启动后,检查已安装包的完整性和各启动脚本。
    soland
        21
    soland  
       2016-11-20 21:37:47 +08:00   ❤️ 1
    DesignerSkyline
        22
    DesignerSkyline  
       2016-11-20 22:03:53 +08:00   ❤️ 1
    重装吧。。 Linux 下的木马很难完全清理干净
    5UESxM1SED56K25z
        23
    5UESxM1SED56K25z  
       2016-11-20 22:53:00 +08:00   ❤️ 1
    挖门罗币的 哇哈哈哈哈
    ayiis
        24
    ayiis  
       2016-11-20 22:59:46 +08:00   ❤️ 1
    在 linux 下染上了木马没有任何办法,搞不好 gcc 都被植入了木马代码,重装是条明路
    v2what
        25
    v2what  
       2016-11-20 23:16:10 +08:00
    重装系统吧
    twl007
        26
    twl007  
       2016-11-21 00:05:31 +08:00 via iPhone   ❤️ 1
    用软件包管理器对所有的软件校验一下吧 看看哪些被修改了
    rhen
        27
    rhen  
       2016-11-21 00:30:43 +08:00 via Android   ❤️ 1
    @annielong Windows 启动的东西太多了,所以,就命令行也没几个地方
    rhen
        28
    rhen  
       2016-11-21 00:31:50 +08:00 via Android   ❤️ 1
    重装前记得找到木马的入口,不然几天后,
    lslqtz
        29
    lslqtz  
       2016-11-21 07:23:52 +08:00   ❤️ 1
    @twl007 然后软件包管理器也被感染了
    msg7086
        30
    msg7086  
       2016-11-21 08:51:04 +08:00   ❤️ 1
    如果是服务器 —— 备份后重装。
    如果是个人电脑 —— 备份后择日重装。
    只要木马是用 root 权限运行的,那就没有能完全清除木马的办法了 —— 除非完全覆盖每一个文件,也就是我们说的重装。
    bianchensz
        31
    bianchensz  
       2016-11-21 09:00:58 +08:00   ❤️ 1
    竟然没人回复 rm -rf /*
    twl007
        32
    twl007  
       2016-11-21 10:55:47 +08:00   ❤️ 1
    @lslqtz 然而校验依旧是能校验出来的
    FreeDog
        33
    FreeDog  
       2016-11-21 15:01:59 +08:00
    可能 ps ls chmod 之类的命令都被篡改了呢
    quix
        34
    quix  
       2016-11-23 14:02:48 +08:00
    这种跑币外挂有没有可能获取到 id 信息呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3233 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:14 · PVG 21:14 · LAX 05:14 · JFK 08:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.