腾讯云服务器里的rshim进程是啥

刚登录一台新的轻量云宝塔面板, 新装的环境, 也没有运行什么, 但是负载居然有十几(没有被扫, 端口全改了的). 按理说负载应该是在0-个位数, 以前租的轻量云开了站之后都没这么高负载.

然后看了下top, 发现有个进程rshim, 在耗cpu. 路径是/usr/sbin/rshim

再然后对比了下不同时间段买的轻量云, 最早买的几台没有这个进程. 之后的所有轻量云都有这个进程, 有点懵, 百度了下, 有说是挖矿的, 现在也不知道是什么了.

来发帖问问mjj有知道的么, 系统好像是centos7.6.

 

本人刚入手腾讯云的一台服务器(萌新刚入坑学习需要,主要是开发)
第二天腾讯云就报6379端口对外攻击处理
于是我查了一下

lsof -i:6379

图片[1]-腾讯云服务器里的rshim进程是啥-栗子博客

这货可真狠啊…攻击的目标多得我控制台都列不下来
于是我尝试强关进程
查询

ps -ef | grep rshim | grep -v grep
就出现下图

图片[2]-腾讯云服务器里的rshim进程是啥-栗子博客

这病毒可真狠,这下子搞得我这萌新懵了,到底怎么办呢,关掉它还会随机找端口开启(也就是怎么关都关不掉)
于是想了一招,先把这玩意权限调下试试

chmod 600 /usr/sbin/rshim

图片[3]-腾讯云服务器里的rshim进程是啥-栗子博客

这样就暂时告一段落啦~
哎…第一次遇到这样的事情…先在此记录一下吧~
后续补充一下:若发现有“hilde”这个用户,一定要删除,这个疑似与此事件有关

userdel -r hilde
关于那或破解服务器的记录,大家可以查这个

cat /var/log/secure
下图只展示小小部分记录
图片[4]-腾讯云服务器里的rshim进程是啥-栗子博客

原文地址:

关于rshim(挖矿病毒)

https://hostloc.com/thread-955320-1-2.html

 

© 版权声明
THE END
点赞0
抢沙发
头像
提交
头像

昵称

取消
昵称

    暂无评论内容

一言一语