疑似感染挖矿病毒 - 网络技术(Networking)版 - 北大未名BBS
返回本版
1
2
下一页 >
/ 2
跳转

疑似感染挖矿病毒

[复制链接]
楼主

xywd [离线]

淆紊

2.9剑侠

发帖数:155 原创分:0
<ASCIIArt> 1楼

通过抓包分析,感觉大概是挖的门罗币,如图3。


更新----------------------

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

今天中午12点左右,该进程又阴魂不散地异常启动,可见对方在诅咒面前也毫无悔意,以丧失人性。(当然别人看不见啊,人家都是覆盖的啊,师弟说

通过任务号扒出了对方的ip:162.105.92.117:8181。查了查可能是28楼的。

在把/etc/ld.so.preload 里面的内容删掉可以查看隐藏进程

一般挖矿程序(比如上次/var/lib/,这次在/usr/local/lib/下面有一个.lib)文件夹。利用root权限的crontab随时重启。

之前由于另外一个师弟的服务器也感染了挖矿软件,所以提醒物院的大家查看一下自己的服务器有没有被一个隐藏进程占用cpu感染挖矿程序。


最后附上师兄一句话:卿本佳人,奈何做贼????坚决抵制企图不劳而获的行为。

 最后修改于2020-01-14 16:33:44
  • 发表于2020-01-14 14:28:56

mycNoone [离线]

雪菜厨|傻狗|重度ky患者

5.9排骨饭

发帖数:6636 原创分:17
<ASCIIArt> 32楼[高亮回复]

原文由 PKUCC 发表在 PKU_CC 版 >>>

谢谢你的信息,这台可疑的主机(162.105.92.117)已经进行了封禁。此外,已经感染的主机,建议参考此前计算中心关于挖矿病毒的通知(https://its.pku.edu.cn/announce/tz20190830153200.jsp),看看是否为类似情况或变种,并按提示进行查杀。或搜索网上相关文档进行处理。有问题欢迎电话咨询:62751023。

mycNoone (雪菜厨|傻狗|重度ky患者) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-15 06:59:49

lyylyy [离线]

gedebahe

0.4新手上路

发帖数:1 原创分:0
<ASCIIArt> 2楼

作为被害者之一,我认为要挖矿自己交电费偷偷的挖,坚决反对这种利用别人服务器加学院电费为自己谋取利益的行为

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 14:33:51

dp [在线]

Dynamic Programming

5.3快速

发帖数:1.2万 原创分:16
<ASCIIArt> 3楼

tcpdump抓个包。。。看看挖的啥


xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……


签名档

  8883   Viven        Jun 20  Re: 求建议-需要三十多张北京至张家界的卧铺

  8884   PRT          Jun 20  Re: 求建议-需要三十多张北京至张家界的卧铺

  8885   bhflj        Jun 20  Re: 求建议-需要三十多张北京至张家界的卧铺

  8886   Viven        Jun 20  Re: 求建议-需要三十多张北京至张家界的卧铺

  8887   Viven        Jun 20  Re: 求建议-需要三十多张北京至张家界的卧铺

> 8888   dp           Jun 20. ● 校内无责任照抄

发表于2020-01-14 14:35:57

merlyn [离线]

梅林

2.0一般站友

发帖数:50 原创分:0
<ASCIIArt> 4楼

顶!谴责这种行为

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 14:47:17

mycNoone [离线]

雪菜厨|傻狗|重度ky患者

5.9排骨饭

发帖数:6636 原创分:17
<ASCIIArt> 5楼

已经转发到校长信箱和计算中心了

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

签名档

菜是原罪 厉外拉同 谁也不比谁干净

发表于2020-01-14 14:50:27

sxpeter [在线]

 

5.9鸡腿饭

发帖数:7207 原创分:4
<ASCIIArt> 6楼

那个IP说不定是个肉鸡吧。。


xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

签名档

“然后呢?”

“没有然后了,

不是所有的故事都有尾声的。”

发表于2020-01-14 14:50:43

merlyn [离线]

梅林

2.0一般站友

发帖数:50 原创分:0
<ASCIIArt> 7楼

@PKUCC 希望计算中心的老师帮助调查!

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 14:57:03

Speedster [离线]

胖胖的猪

2.5浣熊

发帖数:53 原创分:0
<ASCIIArt> 8楼

强烈谴责!

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:02:26

Speedster [离线]

胖胖的猪

2.5浣熊

发帖数:53 原创分:0
<ASCIIArt> 9楼

有没有大牛给一些防御和清除挖矿病毒的建议

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:04:36

Raypotter [离线]

Raychuw

2.9北京市

发帖数:163 原创分:0
<ASCIIArt> 10楼

顶贴,希望挖矿同学收手,不要占用我们宝贵的计算资源

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:06:56

Raypotter [离线]

Raychuw

2.9北京市

发帖数:163 原创分:0
<ASCIIArt> 11楼

大家都去自己服务器上看看,有没有类似的,可能有的账号密码太弱被撞库撞到了。论设一个复杂密码的重要性

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:09:04

Speedster [离线]

胖胖的猪

2.5浣熊

发帖数:53 原创分:0
<ASCIIArt> 12楼

联系前段时间校园网关闭入栈连接。其实不是校外人员攻击校园网,而是校园里有内鬼???

@PKUCC 

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:31:15

juruo [离线]

蒟蒻太蒻了嘤嘤嘤

3.8树袋熊

发帖数:4583 原创分:1
<ASCIIArt> 13楼

之前服务器也有过,后来rm掉bin文件清了crontab,所有用户都换成强密码就好了

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

签名档

糟糕,是心动的感觉 Σ>―(〃°ω°〃)♡→

发表于2020-01-14 15:32:17

xxpthu [离线]

xxpthu

2.5一般站友

发帖数:1589 原创分:0
<ASCIIArt> 14楼

肉鸡儿啊

jiamingpku (jiamingpku) 在 ta 的帖子中提到:

肉什么?

发表于2020-01-14 15:48:43
楼主

xywd [离线]

淆紊

2.9剑侠

发帖数:155 原创分:0
<ASCIIArt> 15楼

不能武断下结论orz。很可能是跳板ip

Speedster (胖胖的猪) 在 ta 的帖子中提到:

联系前段时间校园网关闭入栈连接。其实不是校外人员攻击校园网,而是校园里有内鬼???

@PKUCC 

发表于2020-01-14 15:54:38

IlIl [离线]

王铁牙

4.0维尼熊

发帖数:1595 原创分:0
<ASCIIArt> 16楼

说_不说_,文明你我他。

sxpeter ( ) 在 ta 的帖子中提到:

那个IP说不定是个肉鸡吧。。

签名档

夏响青篁冬悦雪,晝巡红鏡夜觀天。

发表于2020-01-14 16:09:26

kissme [离线]

臭薯条酱

4.4流氓兔

发帖数:3126 原创分:2
<ASCIIArt> 17楼

霍,🐮🍺,有这种事,我马上举报

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 16:19:58

RyanBern [离线]

r.bern

1.0初入江湖

发帖数:15 原创分:0
<ASCIIArt> 18楼

不一定是校内学生干的,有可能只是校内被感染的肉鸡。


在计算中心没有封禁端口的时候,校内几乎每天都有这种肉鸡攻击别的服务器。最常见的原因是该肉鸡的负责人服务器安全知识不足,例如允许 root 登录,root 弱密码等,nfs 挂载权限过大也是常见漏洞之一。不过现在计算中心封了端口,情况好好多,但安全不是绝对的。还是有如下感染病毒的可能:

1. 校内学生个人电脑中毒,然后病毒利用该学生的电脑攻击服务器,所到之处一概挖矿。

2. 该服务器已经备案,但服务器管理员安全知识不足。(一旦备案,该服务器会暴露在公网之下,和未封禁时情况相似)

3. 有内鬼(用户乃至管理员)故意挖矿。例如数院服务器就中过这种挖矿病毒,不过现在病毒已经毕业了。


个人觉得预防的作用要大于出问题进行处理的作用。病毒也有自我保护措施,如开守护进程,篡改系统程序(想想你的系统 ls,ps 等程序都不可靠的时候,你还能怎么清除?),配合 crontab 自动重启等。预防的话,主要可以从以下方面做起:

1. 禁止 root 的 ssh 登录,或者仅允许 public key 验证方式。这个很重要,99% 的黑客都会优先攻击 root 账号。此外,服务器厂商的测试账号也要禁止或者删除。

2. 用户不要使用弱密码。这个可以管理员定期检查,推荐一个叫 john the ripper 的软件对密码进行暴破,如果 x 天暴破出来用户的密码则需要提醒用户修改。

3. 登录节点配置系统防火墙。centos 7 以上的 firewalld 比较好学,可以试一下。

4. 检查 nfs 等配置权限。我的第一台服务器就是因为 nfs 的权限开大了被黑的,当时是被一个白帽提醒的。

5. 如果你的机器不需要校外访问,请不要申请备案。计算中心的墙能减少被校外攻击的几率。

6. 安装 fail2ban 软件,检查外界的暴破攻击,配合防火墙使用。

7. 雇一个懂服务器安全的管理员。或外包给计算中心。

xywd (淆紊) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

 最后修改于2020-01-14 16:38:58
  • 发表于2020-01-14 16:29:52
楼主

xywd [离线]

淆紊

2.9剑侠

发帖数:155 原创分:0
<ASCIIArt> 19楼

赞同大佬分析,还是做好自己服务器的预防是上上策。

RyanBern (r.bern) 在 ta 的帖子中提到:

不一定是校内学生干的,有可能只是校内被感染的肉鸡。

在计算中心没有封禁端口的时候,校内几乎每天都有这种肉鸡攻击别的服务器。最常见的原因是该肉鸡的负责人服务器安全知识不足,例如允许 root 登录,root 弱密码等,nfs 挂载权限过大也是常见漏洞之一。不过现在计算中心封了端口,情况好好多,但安全不是绝对的。还是有如下感染病毒的可能:

1. 校内学生个人电脑中毒,然后病毒利用该学生的电脑攻击服务器,所到之处一概挖矿。

……

发表于2020-01-14 16:39:26

qiyu [离线]

羽羽

2.9野兔

发帖数:3129 原创分:0
<ASCIIArt> 20楼

还可以卖400多块一个呢😍

xywd (淆紊) 在 ta 的帖子中提到:

通过抓包分析,感觉大概是挖的门罗币,如图3。

更新----------------------

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

……

发表于2020-01-14 16:41:49
返回本版
1
2
下一页 >
/ 2
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入