疑似感染挖矿病毒(转载) - 北京大学计算中心(PKU_CC)版 - 北大未名BBS
返回本版
1
/ 1
跳转

疑似感染挖矿病毒(转载)

[复制链接]
楼主

mycNoone [在线]

雪菜厨|傻狗|重度ky患者

5.8排骨饭

发帖数:5907 原创分:13
<ASCIIArt> 1楼

原文由 mycNoone 发表在 PKU_Suggest 版 >>>

原文由 xywd 发表在 Networking 版 >>>

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

今天中午12点左右,该进程又阴魂不散地异常启动,可见对方在诅咒面前也毫无悔意,以丧失人性。(当然别人看不见啊,人家都是覆盖的啊,师弟说

通过任务号扒出了对方的ip:162.105.92.117:8181。查了查可能是28楼的。

在把/etc/ld.so.preload 里面的内容删掉可以查看隐藏进程

一般挖矿程序(比如上次/var/lib/,这次在/usr/local/lib/下面有一个.lib)文件夹。利用root权限的crontab随时重启。

之前由于另外一个师弟的服务器也感染了挖矿软件,所以提醒物院的大家查看一下自己的服务器有没有被一个隐藏进程占用cpu感染挖矿程序。


最后附上师兄一句话:卿本佳人,奈何做贼????坚决抵制企图不劳而获的行为。

发表于2020-01-14 14:44:28

PKUCC [离线]

北京大学计算中心

3.6树袋熊

发帖数:708 原创分:0
<ASCIIArt> 2楼

谢谢你的信息,这台可疑的主机(162.105.92.117)已经进行了封禁。此外,已经感染的主机,建议参考此前计算中心关于挖矿病毒的通知(https://its.pku.edu.cn/announce/tz20190830153200.jsp),看看是否为类似情况或变种,并按提示进行查杀。或搜索网上相关文档进行处理。有问题欢迎电话咨询:62751023。

mycNoone (雪菜厨|傻狗|重度ky患者) 在 ta 的帖子中提到:

前几天发现有人在我们物院的linux服务器上挖矿,只是找出来把挖矿程序给关了。

(师兄语)为了警示对方,在挖矿程序里面写了一句话"挖矿死全家!",期望对方看见如此恶毒的诅咒,能够迷途知返,改过自新。

但是。。。

……

发表于2020-01-14 15:22:41
楼主

mycNoone [在线]

雪菜厨|傻狗|重度ky患者

5.8排骨饭

发帖数:5907 原创分:13
<ASCIIArt> 3楼

感谢

PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

谢谢你的信息,这台可疑的主机(162.105.92.117)已经进行了封禁。此外,已经感染的主机,建议参考此前计算中心关于挖矿病毒的通知(https://its.pku.edu.cn/announce/tz20190830153200.jsp),看看是否为类似情况或变种,并按提示进行查杀。或搜索网上相关文档进行处理。有问题欢迎电话咨询:62751023。

发表于2020-01-15 06:59:29
返回本版
1
/ 1
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入