全球主机交流论坛

标题: 怀疑猫池挖矿有病毒 [打印本页]

作者: 2293310198 时间: 2021-3-29 14:14
标题: 怀疑猫池挖矿有病毒
本帖最后由 2293310198 于 2021-3-29 14:15 编辑

今日发现cpu占用过高
使用top命令查看kswapd0
PID USER    PR  NI VIRT RES SHR S  %CPU  %MEM    TIME+ COMMAND
1571 nas    20 0 2739764 5120 2684 S 198.0 0.1  46:03.12 kswapd0

查看进程ll /proc/1571
-r--r--r--  1 nas nas 0 Mar 29 13:57 arch_status
dr-xr-xr-x  2 nas nas 0 Mar 29 13:57 attr
-rw-r--r--  1 nas nas 0 Mar 29 13:57 autogroup
-r--------  1 nas nas 0 Mar 29 13:57 auxv
-r--r--r--  1 nas nas 0 Mar 29 13:57 cgroup
--w-------  1 nas nas 0 Mar 29 13:57 clear_refs
-r--r--r--  1 nas nas 0 Mar 29 13:55 cmdline
-rw-r--r--  1 nas nas 0 Mar 29 13:57 comm
-rw-r--r--  1 nas nas 0 Mar 29 13:57 coredump_filter
-r--r--r--  1 nas nas 0 Mar 29 13:57 cpuset
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 cwd -> /
-r--------  1 nas nas 0 Mar 29 13:55 environ
lrwxrwxrwx  1 nas nas 0 Mar 29 13:55 exe -> /home/nas/.configrc/a/kswapd0
dr-x------  2 nas nas 0 Mar 29 13:57 fd
dr-x------  2 nas nas 0 Mar 29 13:57 fdinfo
-rw-r--r--  1 nas nas 0 Mar 29 13:57 gid_map
-r--------  1 nas nas 0 Mar 29 13:57 io
-r--r--r--  1 nas nas 0 Mar 29 13:57 limits
-rw-r--r--  1 nas nas 0 Mar 29 13:57 loginuid
dr-x------  2 nas nas 0 Mar 29 13:57 map_files
-r--r--r--  1 nas nas 0 Mar 29 13:57 maps
-rw-------  1 nas nas 0 Mar 29 13:57 mem
-r--r--r--  1 nas nas 0 Mar 29 13:57 mountinfo
-r--r--r--  1 nas nas 0 Mar 29 13:57 mounts
-r--------  1 nas nas 0 Mar 29 13:57 mountstats
dr-xr-xr-x 59 nas nas 0 Mar 29 13:57 net
dr-x--x--x  2 nas nas 0 Mar 29 13:57 ns
-r--r--r--  1 nas nas 0 Mar 29 13:57 numa_maps
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_adj
-r--r--r--  1 nas nas 0 Mar 29 13:57 oom_score
-rw-r--r--  1 nas nas 0 Mar 29 13:57 oom_score_adj
-r--------  1 nas nas 0 Mar 29 13:57 pagemap
-r--------  1 nas nas 0 Mar 29 13:57 patch_state
-r--------  1 nas nas 0 Mar 29 13:57 personality
-rw-r--r--  1 nas nas 0 Mar 29 13:57 projid_map
lrwxrwxrwx  1 nas nas 0 Mar 29 13:57 root -> /
-rw-r--r--  1 nas nas 0 Mar 29 13:57 sched
-r--r--r--  1 nas nas 0 Mar 29 13:57 schedstat
-r--r--r--  1 nas nas 0 Mar 29 13:57 sessionid
-rw-r--r--  1 nas nas 0 Mar 29 13:57 setgroups
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps
-r--r--r--  1 nas nas 0 Mar 29 13:57 smaps_rollup
-r--------  1 nas nas 0 Mar 29 13:57 stack
-r--r--r--  1 nas nas 0 Mar 29 13:55 stat
-r--r--r--  1 nas nas 0 Mar 29 13:55 statm
-r--r--r--  1 nas nas 0 Mar 29 13:55 status
-r--------  1 nas nas 0 Mar 29 13:57 syscall
dr-xr-xr-x 10 nas nas 0 Mar 29 13:57 task
-rw-r--r--  1 nas nas 0 Mar 29 13:57 timens_offsets
-r--r--r--  1 nas nas 0 Mar 29 13:57 timers
-rw-rw-rw-  1 nas nas 0 Mar 29 13:57 timerslack_ns
-rw-r--r--  1 nas nas 0 Mar 29 13:57 uid_map
-r--r--r--  1 nas nas 0 Mar 29 13:57 wchan

/root/.configrc/*病毒所在目录/root/.ssh/病毒公钥/tmp/.X25-unix/.rsync/*病毒运行缓存文件/tmp/.X25-unix/dota3.tar.gz病毒压缩包/root/.configrc/a/kswapd0  病毒主程序==========病毒相关计划任务==========1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1@reboot /root/.configrc/a/upd>/dev/null 2>&15 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1@reboot /root/.configrc/b/sync>/dev/null 2>&10 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1====================================

根据百度所说，此病毒为爆破方式传播，然而种病毒的是nas。。。没有公网ip。除了存一些我上传的电影，没有别的东西。。。
最近的高危行为就只是前几天刚接触到猫池，一激动跑了一下一键脚本，后发现占用太高给关了

作者: oneday 时间: 2021-3-29 14:16
注册会员都会挖矿了谁给我也来个保姆教程啊

作者: buddha 时间: 2021-3-29 14:17
一般小鸡只干一件事，如果不干了就重装不存在中毒

作者: 西北老汉 时间: 2021-3-29 14:19
3L说的对，直接dd

作者: mujj 时间: 2021-3-29 14:24

我是默认它有毒的，重置新系统运行。这台小鸡也别想干其他事了，不挖了在重置回来。

作者: aa8 时间: 2021-3-29 14:28
你不卸载当然还会继续挖啊,再说nas上为啥不虚拟个Debian来挖做好快照,我虚拟的Debian感觉瞎折腾直接快照回滚了

作者: 破论坛早晚药丸 时间: 2021-3-29 14:29
我已经换地方了，猫池太低了

作者: NiDiPiZiNaFongQ 时间: 2021-3-29 15:05

破论坛早晚药丸发表于 2021-3-29 14:29
我已经换地方了，猫池太低了

大佬哪个更高？

作者: matoi 时间: 2021-3-29 15:09
提示: 作者被禁止或删除内容自动屏蔽

作者: 大侠饶命 时间: 2021-3-29 15:35
用脚本？你怎么不怀疑脚本有后门。这个本身就是个挖矿病毒，只不过你本来就是要挖矿的，我也不知道是你挖还是别人挖。

作者: vave 时间: 2021-3-29 18:07
猫池的xmrig在github上是开源的，如有疑问可以自己去查证
https://github.com/C3Pool/xmrig-C3
还有如果您使用的是一键脚本安装的，需要在猫池首页---帮助里面找到卸载脚本，将xmrig完全卸载。谢谢

作者: LoliR 时间: 2021-3-29 18:09

buddha 发表于 2021-3-29 14:17
一般小鸡只干一件事，如果不干了就重装不存在中毒

没错，要么专门挖矿，不挖了，直接重装

欢迎光临全球主机交流论坛 (https://hostloc.onozo.cc/)