阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7781阅读
  • 5回复

[求助]这两天被挖矿木马入侵了,进程名叫autox

级别: 新人
发帖
2
云币
3
GQEI f$  
PID USER      PR  NI  VIRT  RES  SHR S    %CPU     %MEM    TIME+      COMMAND             (h'$3~  
11533 root      20   0 1868m  61m  480 S        2127.8         0.3       8936:52     autox       /6Jy'"+'0  
可以看到,24核的cpu资源被占用了2127.8%,我己的应用占了不到200%,这时候的应用是崩溃的,是想哭的。。。。等我找个地儿! ~ wJ3AqNC?  
p*(U*8Q  
i-K"9z| )  
检查一下这个进程的位置  0jip::x  
  [root@xxxx ~]# ps aux|grep autox X#f+m) S  
root     11533 2285  0.2 1912980 63464 ?       SLl  00:27 8942:38 /tmp/autox -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB -p x    
< e7<t9  
看到这些,内心已然上万只草泥马奔驰而过。。 |wyJh"4!  
赶紧先把autox进程kill掉,不然影响我应用啊,上百用户在那泪眼巴巴的等着 lEVQA*u[  
pkill autox
找到autox文件位置 /tmp/autox, URmAI8fq*M  
读写执行权限均有,果断先去掉它的执行权限 I8pv:>EhC  
chmod -x autox o|p;6  
不中,第二天零晨4点,又特么的跑起来了。。。我泥马啊! 2Be?5+  
咋办? ]%WD} 4e  
看看自运行任务 crontab -e o[Wagg.%  
果然发现一条记录:具体没有记下来。。当时好捉急,就给直接删了,印像中是指向了这个104.243.26.167的一个2.sh文件,反正就是wget后再x 2f}K #i8   
同时在iptables里将104.243.26.167和xmr.crypto-pool.fr drop掉。 6x (L&>F  
~t.WwxY+  
+*r**(-Dm  
。。。 \r1kbf7?  
等,这进程聪明了,观察下来发现,一天也就起两次,零辰4点多一次,下午2点多一次。。。这尼玛,能查的机会不多啊 8f6;y1!;  
网上好多资料把矛头指向了redis,可我没装这个中间件啊,只有一个tomcat。 GWA!Ab'<U  
有人说这个autox的父进程是tomcat,这个我并没有发现。。 AD!<%h:  
avbr7X(  
^! v}  
哎,截至发稿前,此问题尚未解决,有处理过类似问题的大神请进Q群577560042,或加我微信eudy128,或扫我扫我~ P(YG@  
HIWmh4o/.  
t}c}@i_c  
6yl;o_6:  
H2FFw-xW  
>`rNT|rg  
"o5gQTwb  
*n|0\V<  
8.;';[  
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2017-07-07
Re这两天被挖矿木马入侵了,进程名叫autox
我也是这个问题,我也没装redis,也只是有tomcat服务。 /@nRL  
目前的做法: iptables 限制访问,删除crontab任务。但不能实际解决 )Y,?r[4{  
不知道楼主解决问题没有
级别: 新人
发帖
4
云币
5
只看该作者 板凳  发表于: 2017-07-07
回 1楼协鑫的帖子
一样一样的,终于找到病友了
级别: 新人
发帖
2
云币
2
只看该作者 地板  发表于: 2017-07-10
Re这两天被挖矿木马入侵了,进程名叫autox
你处理方法不对,在被挖矿木马入侵的情况下,你考虑到的只是干掉这个进程,没考虑到能被拿去挖矿的前提下你的服务器都已经被黑客入侵了,你应该看看日志有没有被删,查一下日志,看看那些不对头的地方,修复漏洞才对,不然你杀掉进程后,黑客后门进来history一敲,都知道你做了啥修复手段。
级别: 新人
发帖
4
云币
5
只看该作者 4楼 发表于: 2017-07-14
回 3楼抑羽的帖子
大家都知道要修复漏洞,现在问题就是在于,不知道漏洞在哪
级别: 新人
发帖
4
云币
6
只看该作者 5楼 发表于: 2017-07-27
Re这两天被挖矿木马入侵了,进程名叫autox
也中了这玩意,不过进程名字不同,也是tomcat环境,关键是找不到入侵的漏洞,急死人了。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 93 - 11 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)