佬们,前天发现被挖矿了,根据ai说的kill了之后,又检查了一波啥都没发现,昨天看的还没有,今天一看又有了
这种情况只能重装系统了吗
7 个赞
检查crontab,systemd之类的计划任务,检查后门 owo
肯定是因为有漏洞才又被攻击了喵 owo
1 个赞
还是建议重装呀w
1 个赞
是不是最近闹的很凶的nextjs 漏洞????
1 个赞
漏洞没修就一直有.jpg
1 个赞
挖矿太可恶了。
1 个赞
重装是最有保障的,保不准哪个角落藏着恶意程序
1 个赞
我刚刚格式化一台
1 个赞
这段时间全是react那个漏洞被挖矿的
2 个赞
之前中过一次,建议还是直接重装系统。 因为它的脚本里面,不止crontab, 而是把一些基础命令都给替换了。比如说 cd. 他会把原来的cd命令换位置,然后把自己脚本换成cd, 脚本里面先执行他的代码,然后在执行cd。 还有ls. top ,ps. 都加了反过滤。 属于防不胜防。很难彻底清除。
1 个赞
我同事他们部门的linux服务器也是被挖矿了,他找大领导,大领导跟他说装个360。 
哎~~~
5 个赞
1.初级后门,useradd用户,写sshkey.cron,systemd.检查相应位置即可。
2.中级后门,应用层替换模块,原始命令,LD_PRELOAD动态库劫持,使用dpkg包校验还原基本可解。
3.高级后门,内核级rk,通常会hook系统调用表隐藏端口,进程,文件。检查对比系统调用表地址,这种比较复杂,建议使用专业rk查杀工具如rkhunter chrootkit.
能被发现的后门通常比较容易被查杀
如果没检查出来,就当没后门。
@mjy194 来研究linux下的病毒
1 个赞
推荐重装
1 个赞
我真服了啊,我这个还在家里,只能frp远程连接,不能直接重装,等过年回家再说吧
前几天我发现我的vps也被后台挖坑了,可恶啊!
哈哈,谢邀~
内核的rootkit 还是比较少的, 使用LD_PRELOAD也能做到隐藏端口,文件,进程等;
可以先分析一下威胁暴露面:
比如哪些端口暴露出去了,根据这些端口分析下使用的应用,看下这些HTTP用的技术栈,比如最近比较热的next.js漏洞;
如果ssh暴露了,检查下是不是弱口令,如果使用了证书登录,看下~/.ssh/authorized_keys中有没有不认识的key;有的话先删一下;
还有就是其它佬友说的用户检查,crond,systemd等启动项的检查
内核rk还是挺多的,只是国内研究的人很少,而且通用性和稳定性都不如应用层的东西,得先本地搭建相同内核版本debug编译测试,不然很容易把目标机器搞挂.掉。下面这种rkhunter clamav chrootkit都检测不出来的rk要怎么查
虽然不是被挖矿, 但中过一次毒,我mac都重装了 
rootkit的要求比较高,必须得是相同的内核版本编译(分发限制,这个要么预编译,要么dkms,还要考虑不同的内核版本带来的差异),所以相对来说比较少吧(可能是我见的太少了);像挖矿这种,不是太有必要上rootkit,而且上了rootkit也不利于分发;