想找云豹科技做数字货币交易平台开发，大家觉得怎样？_百度知道
想找云豹科技做数字货币交易平台开发，大家觉得怎样？
我有更好的答案
可以，云豹的专业在业内还是很出名的，他们技术放心。
采纳率：100%
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。后使用快捷导航没有帐号？
查看: 2587|回复: 45
服务器被挖矿程序抓成肉鸡了，大神们，求支招
公司的几台linux服务器最近发现cpu进程占用非常高，经过查询，发现是一个名叫java的进程。实际本机并未安装java的相关程序。可能是别的东西伪装成了java的相关文件。在防火墙上查看，发现服务器一直持续的向外发送数据包，统一特点是均链接对方的80端口。本地文件搜索查找，定位出了risktool.linux.lv这样的文件。google查询得知，是一种挖矿软件植入的病毒。换句话说，我们的服务器已经成了肉鸡了。
大神们，有没有人遇到过类似的情况，或者解决过，请给支个招，怎么才能彻底查杀清楚掉类似的程序文件。或者有比较好的工具，欢迎推荐。
主题帖子积分
-r--r-----, 积分 272, 距离下一级还需 128 积分
-r--r-----, 积分 272, 距离下一级还需 128 积分
想知道楼主您是怎么分析出来的？我也想检查下我的服务器，感觉也不太对劲，但说不出来。。。
主题帖子积分
通过 ls -l /proc/&pid&/map_files/ 可以看到该进程实际加载的可执行文件和动态库。不过如果有意伪装的话这招也可能没什么用。
然后就是排查开机自动运行的脚本以及可能启动其它程序的脚本、配置文件了，具体是哪些则取决于你们的系统。这个可能比较繁琐，如果你们有备份，可以直接diff。
然后校验所有安装的软件包没有被修改，如果是rpm：
当然，最简单的清除方法其实是重装系统。如果你们用的是虚拟机且有以前正常的备份/快照，那就很简单了。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
通过 ls -l /proc//map_files/ 可以看到该进程实际加载的可执行文件和动态库。不过如果有意伪装的话这招也 ...
不可能重装的。上面跑的有业务。而且月初正是企业上报的关口。就连java那个文件的真伪，现在我们都保持谨慎态度，不敢擅自删除。自动任务里面能看到它是不是会起来。
详见下文：
[root ~]# /etc/rc.local
&&% Total& & % Received % Xferd&&Average Speed& &Time& & Time& &&&Time&&Current
& && && && && && && && && && && &Dload&&Upload& &Total& &Spent& & Left&&Speed
100&&&&1557& & 0& &&&0& &2495& && &0 --:--:-- --:--:-- --:--:--& &&&0
-- 10:10:03--&&http://45.77.106.29/rootv2.sh
Connecting to 45.77.106.29:80... ?l 1/2 ??
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
本帖最后由 pow 于
11:14 编辑
?¤???K) [application/octet-stream]
Saving to: `/etc/rootv2.sh.2'
100%[====================================================&] 1,557& && & --.-K/s& &in 0s& && &
10:10:04 (135 MB/s) - `/etc/rootv2.sh.2' saved []
/usr/local/jiangmin/monitor.sh: line 6: 15018 ???& && && && && && &./supports/jre1.6.0/bin/java -jar ./Cncert.jar
vm.nr_hugepages = 128
主题帖子积分
本帖最后由 duanyao 于
11:21 编辑
不可能重装的。上面跑的有业务。而且月初正是企业上报的关口。就连java那个文件的真伪，现在我们都保持谨 ...
你这是什么的输出？
所以你们的应急预案似乎不够啊。
最好是用虚拟机跑实际业务，做好备份。需要重装或升级系统时，可以开另一台虚拟机做，完成以后重启替换。重启可以安排在不繁忙的时段，比如深夜。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
想知道楼主您是怎么分析出来的？我也想检查下我的服务器，感觉也不太对劲，但说不出来。。。 ...
1、在防火墙上查看该服务器IP上的链接数和链接详情；（一般为指向某个外网IP的80端口）
2、查cpu进程（top命令）。针对高占用资源的进程，查找对应的资源文件（ps -ef | grep 进程ID或者进程路径）。
cd 开该路径下的文件，查看修改日期，权限是否跟原始版本一致。
3、通过排查/etc/rc.local 内容是否有开机自启。（自启内容跟我回复楼下的内容差不多）
4、步骤2中查到的文件，如果确认本机安装的应用未调用，可以删除。再过10--15分钟查看开启自启任务是否有额外的任务。
5、google搜索相关，吧啦吧啦。。。。。
就这么做的。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
你这是什么的输出？
所以你们的应急预案似乎不够啊。
本来就是虚机啊。4台并列工作的。现在3台带病。日了吉娃娃了。
我这个是查询开机自启动的输出。显示一直有一个链接持续Connecting to 45.77.106.29:80。就这个东西在作怪。结合网上搜的资料，才判定是挖矿程序。
主题帖子积分
来自移动端
pow 发表于
本来就是虚机啊。4台并列工作的。现在3台带病。日了吉娃娃了。
我这个是查询开机自启动的输出。显示一直 ...
先把ip封了再慢慢搞吧
主题帖子积分
-rw-r--r--, 积分 1013, 距离下一级还需 587 积分
-rw-r--r--, 积分 1013, 距离下一级还需 587 积分
看起来好危险的样子……小白不懂，祝你好运。
Shinelon Destroyer-DD
GTX960M 4GD5
deepin 15.5
主题帖子积分
-r--------, 积分 158, 距离下一级还需 42 积分
-r--------, 积分 158, 距离下一级还需 42 积分
没有部署ngfw？？
主题帖子积分
-rw-rw-r--, 积分 3031, 距离下一级还需 169 积分
-rw-rw-r--, 积分 3031, 距离下一级还需 169 积分
来自移动端
http://m.blog.chinaunix.net/uid--id-1909123.html
主题帖子积分
-rw-rw-r--, 积分 3031, 距离下一级还需 169 积分
-rw-rw-r--, 积分 3031, 距离下一级还需 169 积分
来自移动端
sinan 发表于
http://m.blog.chinaunix.net/uid--id-1909123.html
参考这个，调整进程运行优先级试试
主题帖子积分
本帖最后由 duanyao 于
12:10 编辑
本来就是虚机啊。4台并列工作的。现在3台带病。日了吉娃娃了。
我这个是查询开机自启动的输出。显示一直 ...
是虚拟机就可以恢复快照/备份啊。
不，你这是又执行了一遍 /etc/rc.local 吧。 /etc/rc.local 已经被病毒修改了，你这等于是又运行了一遍病毒。
病毒代码就是 45.77.106.29/rootv2.sh ，你读一遍就知道它干了什么了。它感染了 /etc/rc.local 和 /etc/crontab ，然后真正的可执行文件是 45.77.106.29/sourplum 。
如果要手动清除，你需要杀掉病毒进程，恢复 /etc/crontab 和&&/etc/rc.local 。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
参考这个，调整进程运行优先级试试
多谢。我参考一下。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
没有部署ngfw？？
有的。怀疑是有内部人挂挖矿程序感染了，正常状态下是没问题的。
主题帖子积分
-r--r-----, 积分 259, 距离下一级还需 141 积分
-r--r-----, 积分 259, 距离下一级还需 141 积分
服务器装redis了吗
个人博客：
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
服务器装redis了吗
没有。这个工具跟我们目前遇到的问题关联度不大呀。
主题帖子积分
-r--------, 积分 162, 距离下一级还需 38 积分
-r--------, 积分 162, 距离下一级还需 38 积分
是虚拟机就可以恢复快照/备份啊。
不，你这是又执行了一遍 /etc/rc.local 吧。 /etc/rc.local 已经被病毒 ...
水平不够，字数来凑。
经过你的提醒，我找到了根源。在防火墙上封锁了45.77.106.29的双向访问。并删除了rootv2.sh和sourplum文件。同时干掉了相关进程。rc.local文件内容已修改。crontab内容无变化。同时，经过对rootv2.sh脚本文件的解读分析，发现这个鸡贼软件还特么调用了大内存。把我的128G内存全吃了。还得修改nr_hun****文件配置内容。
种种，以上。
但是现在还遇到一个问题。就是sourplum这个文件，阴魂不散。删了还出现，而且在进程中还能发现sys_sent的tcp链接，指向地址还是45.77.106.29。这就奇了怪了。病毒的根本文件应该还在某个地方存着，并没有斩草除根。
你这边有更好的思路或者解决方法吗？
主题帖子积分
水平不够，字数来凑。
经过你的提醒，我找到了根源。在防火墙上封锁了45.77.106.29的双向访问。并 ...
关机，把硬盘挂在另一个干净的机器上再清除啊，病毒还在运行的话，自然是有防删除措施的。云豹科技的直播平台搭建怎么样？_百度知道
云豹科技的直播平台搭建怎么样？
大家帮帮忙啊！我已经困惑好久好久了一定要帮我解决一下啊！
我有更好的答案
他们的直播搭建得很不错的
采纳率：100%
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。云豹科技区块链软件开发这块做的多吗？_百度知道
云豹科技区块链软件开发这块做的多吗？
我有更好的答案
次北固山下(王湾)
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。云豹科技有做区块链游戏开发吗？_百度知道
云豹科技有做区块链游戏开发吗？
我有更好的答案
有的，虽然现在市面上区块链游戏还不是很多
但是云豹科技确实有这方面的业务的。
采纳率：100%
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。