人麻了，服务器第二次被植入挖矿病毒了

wyjistest

第一次是因为用户名和密码一致，然后立马改了十二位复杂密码。

https://hostloc.com/thread-1299990-1-1.html

今天登上去一看，草，top的CPU占用率50%，但是没有明显占用CPU的进程。我以为是我眼花了，然后下了个htop，一看也正常，还以为top命令出错了。后来转念一想，他吗的不会又被植入挖矿病毒了吧。

然后Google了一下，装了一个unhide，一扫，果然还有隐藏进程，而且是root用户运行的，把这些进程kill了CPU占用率就下来了。查tcp发现有几个可疑的IP：

199.247.27.41
178.128.242.134

反查域名发现绑定的域名是donate.ssl.xmrig.com，donate.v2.xmrig.com，randomx.xmrig.com。他吗的一看主域名xmrig.com就是挖矿软件下载的网站。

有没有运维高手指点一下，我这到底哪里出了漏洞？root密码是十六位的复杂密码，每个用户的密码都是十二位的密码，应该不至于被ssh爆破吧？每天心惊胆战的，ssh还在被爆破。。。

server0608

是不是服务器上运行的程序有漏洞

五五哥

"

我觉得多半是

暖风

赶快找找原因吧！

sujiax

估计是应用的漏洞 也有可能是第一次没清干净

wyjistest

我也不知道啥情况啊，这种问题应该咋排查

五五哥

我也中过，但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查，占用100%，压根无法ssh登陆。后面重制了服务器，并且docker控制每个容器的使用率。

wellknown

应该是上次干进去的时候就留下了后门吧，比如你看看/etc/password里面有没有新的用户。而且我看你装的东西也没，直接重装系统就是了

wyjistest

五五哥 发表于 2024-5-2 10:02

我也中过，但是只用docker装了halo、apache webdav、gpt next web。不过我的很难排查，占用100%，压根无法s ...
难顶，我这服务器不能随便重装，数据还在上面。

五五哥

我怀疑是halo的主题下载了病毒，后面没装主题就没中毒了