怀疑猫池挖矿有病毒

2293310198 · 发表于 2021-3-29 14:14:01

本帖最后由 2293310198 于 2021-3-29 14:15 编辑

今日发现cpu占用过高
使用top命令查看kswapd0
PID USER    PR  NI VIRT RES SHR S  %CPU  %MEM    TIME+ COMMAND
1571 nas    20 0 2739764 5120 2684 S 198.0 0.1  46:03.12 kswapd0

查看进程ll /proc/1571
-r--r--r--  1 nas nas 0 Mar 29 13:57 arch_status
dr-xr-xr-x  2 nas nas 0 Mar 29 13:57 attr
-rw-r--r--  1 nas nas 0 Mar 29 13:57 autogroup
-r--------  1 nas nas 0 Mar 29 13:57 auxv
-r--r--r--  1 nas nas 0 Mar 29 13:57 cgroup
--w-------  1 nas nas 0 Mar 29 13:57 clear_refs
-r--r--r--  1 nas nas 0 Mar 29 13:55 cmdline
-rw-r--r--  1 nas nas 0 Mar 29 13:57 comm
-rw-r--r--  1 nas nas 0 Mar 29 13:57 coredump_filter
-r--r--r--  1 nas nas 0 Mar 29 13:57 cpuset
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 cwd -> /
-r--------  1 nas nas 0 Mar 29 13:55 environ
lrwxrwxrwx  1 nas nas 0 Mar 29 13:55 exe -> /home/nas/.configrc/a/kswapd0
dr-x------  2 nas nas 0 Mar 29 13:57 fd
dr-x------  2 nas nas 0 Mar 29 13:57 fdinfo
-rw-r--r--  1 nas nas 0 Mar 29 13:57 gid_map
-r--------  1 nas nas 0 Mar 29 13:57 io
-r--r--r--  1 nas nas 0 Mar 29 13:57 limits
-rw-r--r--  1 nas nas 0 Mar 29 13:57 loginuid
dr-x------  2 nas nas 0 Mar 29 13:57 map_files
-r--r--r--  1 nas nas 0 Mar 29 13:57 maps
-rw-------  1 nas nas 0 Mar 29 13:57 mem
-r--r--r--  1 nas nas 0 Mar 29 13:57 mountinfo
-r--r--r--  1 nas nas 0 Mar 29 13:57 mounts
-r--------  1 nas nas 0 Mar 29 13:57 mountstats
dr-xr-xr-x 59 nas nas 0 Mar 29 13:57 net
dr-x--x--x  2 nas nas 0 Mar 29 13:57 ns
-r--r--r--  1 nas nas 0 Mar 29 13:57 numa_maps
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_adj
-r--r--r--  1 nas nas 0 Mar 29 13:57 oom_score
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_score_adj
-r--------  1 nas nas 0 Mar 29 13:57 pagemap
-r--------  1 nas nas 0 Mar 29 13:57 patch_state
-r--------  1 nas nas 0 Mar 29 13:57 personality
-rw-r--r--  1 nas nas 0 Mar 29 13:57 projid_map
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 root -> /
-rw-r--r--  1 nas nas 0 Mar 29 13:57 sched
-r--r--r--  1 nas nas 0 Mar 29 13:57 schedstat
-r--r--r--  1 nas nas 0 Mar 29 13:57 sessionid
-rw-r--r--  1 nas nas 0 Mar 29 13:57 setgroups
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps_rollup
-r--------  1 nas nas 0 Mar 29 13:57 stack
-r--r--r--  1 nas nas 0 Mar 29 13:55 stat
-r--r--r--  1 nas nas 0 Mar 29 13:55 statm
-r--r--r--  1 nas nas 0 Mar 29 13:55 status
-r--------  1 nas nas 0 Mar 29 13:57 syscall
dr-xr-xr-x 10 nas nas 0 Mar 29 13:57 task
-rw-r--r--  1 nas nas 0 Mar 29 13:57 timens_offsets
-r--r--r--  1 nas nas 0 Mar 29 13:57 timers
-rw-rw-rw-  1 nas nas 0 Mar 29 13:57 timerslack_ns
-rw-r--r--  1 nas nas 0 Mar 29 13:57 uid_map
-r--r--r--  1 nas nas 0 Mar 29 13:57 wchan

/root/.configrc/*病毒所在目录/root/.ssh/病毒公钥/tmp/.X25-unix/.rsync/*病毒运行缓存文件/tmp/.X25-unix/dota3.tar.gz病毒压缩包/root/.configrc/a/kswapd0  病毒主程序==========病毒相关计划任务==========1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1@reboot /root/.configrc/a/upd>/dev/null 2>&15 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1@reboot /root/.configrc/b/sync>/dev/null 2>&10 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1====================================

根据百度所说，此病毒为爆破方式传播，然而种病毒的是nas。。。没有公网ip。除了存一些我上传的电影，没有别的东西。。。
最近的高危行为就只是前几天刚接触到猫池，一激动跑了一下一键脚本，后发现占用太高给关了

oneday · 发表于 2021-3-29 14:16:35

注册会员都会挖矿了谁给我也来个保姆教程啊

buddha · 发表于 2021-3-29 14:17:40

一般小鸡只干一件事，如果不干了就重装不存在中毒

西北老汉 · 发表于 2021-3-29 14:19:53

3L说的对，直接dd

mujj · 发表于 2021-3-29 14:24:35

我是默认它有毒的，重置新系统运行。这台小鸡也别想干其他事了，不挖了在重置回来。

aa8 · 发表于 2021-3-29 14:28:38

你不卸载当然还会继续挖啊,再说nas上为啥不虚拟个Debian来挖做好快照,我虚拟的Debian感觉瞎折腾直接快照回滚了

破论坛早晚药丸 · 发表于 2021-3-29 14:29:09

我已经换地方了，猫池太低了

NiDiPiZiNaFongQ · 发表于 2021-3-29 15:05:11

破论坛早晚药丸发表于 2021-3-29 14:29
我已经换地方了，猫池太低了

大佬哪个更高？

matoi · 发表于 2021-3-29 15:09:15

提示: 作者被禁止或删除内容自动屏蔽

大侠饶命 · 发表于 2021-3-29 15:35:36

用脚本？你怎么不怀疑脚本有后门。这个本身就是个挖矿病毒，只不过你本来就是要挖矿的，我也不知道是你挖还是别人挖。

		自动登录	找回密码
密码			注册

matoi matoi 当前离线积分 711	发表于 2021-3-29 15:09:15 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
matoi matoi 当前离线积分 711
	回复支持反对举报

[lighttpd] 怀疑猫池挖矿有病毒

浏览过的版块