这是一个创建于 1222 天前的主题,其中的信息可能已经有所发展或是发生改变。
系统是 OpenWrt 22 ,最近网络不太稳定,上去看了下 top,发现有个进程占满了全部 CPU ,kill 之后会立即自动启动。
htop 截图如下:
然后我用 lsof 看了下这个进程都访问了哪些文件:
这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)
查了一下这个 IP 来自于法国:
htop 截图如下:
然后我用 lsof 看了下这个进程都访问了哪些文件:
这就更加可疑了,它的执行文件被删除了: /root/kworker\\6:4-events (deleted),然后还开了一个连接到这个 IP:TCP xxxx:57702->141.94.96.71:443 (ESTABLISHED)
查了一下这个 IP 来自于法国:
45 条回复 2022-12-21 20:07:04 +08:00
 | 1 VYSE 2022 年 12 月 19 日  2 Mining Pool Online 141.94.96.71 |
 | 2 shakoon 2022 年 12 月 19 日 可能是挖矿的木马吧 |
 | 3 911061873 2022 年 12 月 19 日 挖矿木马实锤了 |
 | 4 baibing 2022 年 12 月 19 日 拿路由器的 CPU 挖,效率也太低了吧... |
 | 5 jackOff 2022 年 12 月 19 日 via Android 防火墙把 WAN 口的入站和端口转发禁掉咋样? |
 | 6 apiman 2022 年 12 月 19 日 是不是开了端口转发或者端口映射?应该就是被人批量扫描到了,然后挂了东西。 |
| 7 jackOff 2022 年 12 月 19 日 via Android 还有记得把 SSH 端口改一下,默认密码改掉,最好改成只能内网访问 |
| 8 jackOff 2022 年 12 月 19 日 via Android 当然最倒霉的是你刷的镜像就有后门 |
 | 9 lithiumii 2022 年 12 月 19 日 2 @baibing 挖矿病毒讲究一个以量取胜,反正都是受害者付电费,一个月赚一分钱也是白赚。我印象中树莓派挖 xmr 的 hashrate 有小一百,黑个二三十台就抵过高端桌面 CPU 了 |
 | 10 Greenm 2022 年 12 月 19 日 路由器开公网访问了吗,是不是 SSH 被爆破进来了? 试试恢复一下被删除的文件 cp /proc/27399/exe /tmp/test.recover md5sum /tmp/test.recover 用 virustotal 查一下这个 hash ,看看是怎么进来的 |
| 12 jackOff 2022 年 12 月 19 日 via Android 感觉有点像网心云这种模式的黑客版本,虽然网心云也不干净就是了 |
 | 14 fancy2020 OP @totoro52 看起来只是 CPU 跑满了,但网络流量并没升高,应该大概率是挖矿了。 系统已经用 PVE 的备份还原掉了,那应该就是我的防火墙策略有问题, 再加上 root 密码太简单(可能默认是没有密码...)被远程植入了... 马上去学习一下 OpenWrt 防火墙设置.. |
| 15 fancy2020 OP @brader 我在 imgur 上上传图片,然后在浏览器的开发者 debug console 窗口查询到这个图片的链接,然后复制过来的。。 |
| 19 fancy2020 OP 我把原来带毒的系统又恢复了一下,启动之后发现那些异常进程不见了,难道它这个不能持久化? |
 | 20 yjim 2022 年 12 月 19 日 @brader 上传完右键图片点复制图片地址, 粘贴的是 URL 是类似 .jpg 这样图片后缀结尾的就可以了 如果不是,刷新 imgur 的页面再右键图片,复制图片地址 |
 | 21 ericwood067 2022 年 12 月 19 日 你是自己编译的、官网下载的,还是第三方编译的系统?如果是任何第三方编译的,最好换个系统,防止故意留后门。 |
| 22 fancy2020 OP @ericwood067 我是在官网 openwrt.org 下载的 |
 | 23 nmap 2022 年 12 月 19 日 5 让它挖呗,其实对你也没啥损失,经济下行大家都不容易 |
 | 25 yaott2020 2022 年 12 月 19 日 via Android ssh 建议证书登录 |
 | 27 lanlandezei 2022 年 12 月 19 日 我的 N1 OPENWRT 昨天也被扫了,CPU10%-20% 一直有欧洲 IP 的 TCP 连接,赶紧改下端口映射,CPU 就正常了 0% |
 | 28 mmdsun 2022 年 12 月 19 日 以前家里华硕路由器 wan 口开一天就被挖矿了,密码也是很复杂的密码。现在一般都不敢开路由器 ssh 了 |
 | 29 WOLFRAZOR 2022 年 12 月 19 日 怀疑挖矿,赶紧掐掉 SSH ,由受害者支付电费和网费。设备废了是小问题,但是个人安全是大问题。 |
 | 30 chenyx9 2022 年 12 月 19 日 via Android openwrt 的 SSH 好像是默认监听所有网络?得改成 lan |
 | 33 ShunYea 2022 年 12 月 20 日 我现在用的爱快系统,不知道会不会有上述这些问题。 |
 | 34 vmebeh 2022 年 12 月 20 日 不要把 wan 的 input 改成 accept ,需要开端口另行增加规则 用默认配置也没问题 |
 | 35 Musong 2022 年 12 月 20 日 |
 | 36 lovemail115 2022 年 12 月 20 日 @nmap 你干的是吧? |
 | 39 Hant 2022 年 12 月 20 日  |
| 40 Hant 2022 年 12 月 20 日 1 发图片上传好了直接对着图片右键复制图片地址,然后回复框粘贴就好了呀。  |
 | 41 feeloho 2022 年 12 月 21 日 |
 | 42 RedBeanIce 2022 年 12 月 21 日 |
 | 43 BIND 2022 年 12 月 21 日 via Android 蚊子腿也是肉 |
 | 44 NetCobra 2022 年 12 月 21 日 via Android 为什么不把 SSH 限制为只允许内网连接呢? |
 | 45 TsukiMori 2022 年 12 月 21 日 via iPhone 蹲 我 OpenWrt 直接禁止 wan 的入站和转发 只针对 nas 的几个 web 服务 p2p 和 zerotier 的监听端口单独开放 不知道有没有风险 |
Select Language