全球主机交流论坛
标题:
疑似被挖矿,求个解决思路
[打印本页]
作者:
ic丶sky
时间:
2023-3-5 16:03
标题:
疑似被挖矿,求个解决思路
作者:
发卡生活
时间:
2023-3-5 16:05
目测不是挖矿
作者:
ic丶sky
时间:
2023-3-5 16:13
来人看看啊
作者:
adminisd
时间:
2023-3-5 16:32
初步看可能命令被篡改了,
作者:
HOH
时间:
2023-3-5 16:53
挖矿肯定要联网啊,先查网络连接,再找对应pid,找不到的话可能就是给藏起来了,考虑内核是不是被替换了,非要处理的话就只能进单用户模式搞了,总之还不如重装来的快
作者:
Liu`e
时间:
2023-3-5 17:21
直接重装吧,你这种情况估计没救了
作者:
diocat
时间:
2023-3-5 17:26
估计是动态库被替换了,很难搞,搞不干净,自己备份业务然后直接铲掉吧
作者:
vinny
时间:
2023-3-5 17:27
备份重装吧
作者:
Kvm
时间:
2023-3-5 17:44
netstat -natp 看看有哪些可疑网络连接进程
作者:
binean
时间:
2023-3-5 17:47
使用top,然后按shfit+p,就可以看到按CPU使用率进行排序的进程,然后找到对应进程处理呗。
如果真是破解了,最稳妥还是备份重装,增加安全性
作者:
tem
时间:
2023-3-5 17:51
root都没了就别看了
作者:
codegear
时间:
2023-3-5 17:55
本帖最后由 codegear 于 2023-3-5 18:03 编辑
连cpu使用都隐藏了,很可能是上了内核mod,自己搞很难搞干净,建议重装。
补充:我多举个例子,比如通过eBPF可以篡改进程的CPU和流量数据,可以禁止kill特定进程,还能留口子送登录权限。但是排查起来旷日持久。
作者:
kof6946369
时间:
2023-3-5 18:25
内核都换了。还不重置
作者:
gyjys43043
时间:
2023-3-5 21:49
用AVML抓个内存看看
https://github.com/microsoft/avml
作者:
diy
时间:
2023-3-5 21:52
这都被改成什么样了,不用考虑救了吧
作者:
ic丶sky
时间:
2023-3-6 08:27
机器只能重装了
欢迎光临 全球主机交流论坛 (https://loc.442266.xyz/)
Powered by Discuz! X3.4
来人看看啊
初步看可能命令被篡改了,