共计 469 个字符,预计需要花费 2 分钟才能阅读完成。
第一次是因为用户名和密码一致,然后立马改了十二位复杂密码。https://loc.mjj.cm/thread-1299990-1-1.html
今天登上去一看,草,top 的 CPU 占用率 50%,但是没有明显占用 CPU 的进程。我以为是我眼花了,然后下了个 htop,一看也正常,还以为 top 命令出错了。后来转念一想,他吗的不会又被植入挖矿病毒了吧。
然后 Google 了一下,装了一个 unhide,一扫,果然还有隐藏进程,而且是 root 用户运行的,把这些进程 kill 了 CPU 占用率就下来了。查 tcp 发现有几个可疑的 IP:
199.247.27.41
178.128.242.134
反查域名发现绑定的域名是 donate.ssl.xmrig.com,donate.v2.xmrig.com,randomx.xmrig.com。他吗的一看主域名 xmrig.com 就是挖矿软件下载的网站。
有没有运维高手指点一下,我这到底哪里出了漏洞?root 密码是十六位的复杂密码,每个用户的密码都是十二位的密码,应该不至于被 ssh 爆破吧?每天心惊胆战的,ssh 还在被爆破。。。
正文完
