一直中挖矿木马，删不掉

mark_Kawaiii · 2024 年3 月 20 日 02:20

redis限制端口加了密码
cron删除了脚本
还是被感染

mark_Kawaiii · 2024 年3 月 20 日 02:24

root@mail:~# crontab -l -u www-data
The user www-data cannot use this program (crontab)

nice · 2024 年3 月 20 日 02:26

可能系统已经被悄悄植入后门了

leowyzhang · 2024 年3 月 20 日 02:31

对于这种如果根治不了，只能重装

xiaoxiaoxiaoxiaozhen · 2024 年3 月 20 日 02:34

很早自己买的阿里云服务器的redis也是中毒了、定时会执行脚本服务器还是国外的没办法解决、重做了系统。

torlee · 2024 年3 月 20 日 02:34

好神奇啊，你不是有 root 权限吗？还删不掉

mark_Kawaiii · 2024 年3 月 20 日 03:01

能删掉
但是删完复活

14790897 · 2024 年3 月 20 日 03:05

难道是运行的程序有问题？

mark_Kawaiii · 2024 年3 月 20 日 03:10

一直显示php的服务底下启动的
估计是从网站黑的

Khadgar · 2024 年3 月 20 日 03:12

我都是把Redis和PG、MySQL啥的主程序扔Docker里，数据文件放宿主挂载进去，这样基本上性能没什么损失，被黑了直接重开容器就行了。

doveppp · 2024 年3 月 20 日 03:13

ssh登录密匙看下 /tmp目录清空下

yangbuyiya · 2024 年3 月 20 日 03:16

和我之前一样，我开通docker的链接导致被植入ssh木马运行docker程序疯狂挖，我root删除说我没权限挖槽把权限文件都给我干掉了，只能重新安装了

mark_Kawaiii · 2024 年3 月 20 日 03:20

我没开启密钥登录 root下面没有.ssh目录
都是密码
还改过

mark_Kawaiii · 2024 年3 月 20 日 03:22

病毒脚本欢迎大家研究
Screenshot_20240319-201445~2
185.122.204.197/ph.sh

Khadgar · 2024 年3 月 20 日 03:22

理论上证书登录会更安全一些。

fickleness-youth · 2024 年3 月 20 日 03:24

禁用密码登录，密码登录如果没装fail2ban的话，被爆破的风险太大

mark_Kawaiii · 2024 年3 月 20 日 03:24

有fail2ban

Khadgar · 2024 年3 月 20 日 03:25

我一般都是只开证书登录……

fickleness-youth · 2024 年3 月 20 日 03:26

密钥登录安全性确实高多了

mark_Kawaiii · 2024 年3 月 20 日 03:27

这玩意会弄内核驱动么

话题		回复	浏览量
记一次NACOS开放公网访问导致服务器被挖矿的解决流程 [kdcflush] acosd 开发调优 Linux , 网络安全	39	833	2024 年12 月 9 日
挖矿木马你们有碰到过吗？开发调优网络安全	15	394	2025 年8 月 8 日
服务器CPU100% 我这是被下挖矿脚本了吧开发调优快问快答 , 软件开发	37	597	2025 年8 月 23 日
我的服务器中了挖矿病毒kdevtmpfsi 开发调优网络安全	14	640	2024 年12 月 9 日
求助，服务器成矿机了，阿里云查杀失败，有佬有解决经验吗？开发调优快问快答 , 网络安全 , 纯水	22	532	2025 年11 月 2 日