ccs 被挂马了，貌似是挖矿的

bag

畜生行为啊

1. 
   
2. root@linux:~/sftp# ll
   
3. total 3340
   
4. drwxr-xr-x 2 root root    4096 May 27 01:47 ./
   
5. drwx------ 8 root root    4096 May 27 02:31 ../
   
6. -rwxrwxrwx 1 root root    3980 May 27 01:56 config.json*
   
7. -rwxr-xr-x 1 root root     410 May 27 01:47 xmrig_wrapper.sh*
   
8. -rwxrwxrwx 1 root root 3401080 Apr 27 06:36 xmrigx86*
   

复制代码

XMRig mining software with watchdog wrapper
路径  /etc/systemd/system/xmrigx86.service

2025年5月27日 10:41 /root/sftp/xmrig_wrapper.sh: line 13: 28208 Killed "$SERVICE_PATH" >> "$LOG_FILE" 2>&1


XMRig Cleaner Service
路径  /etc/systemd/system/xmrig-cleaner.service
2025年5月27日 10:46 xmrig-cleaner.service: Failed with result 'exit-code
10:46 xmrig-cleaner.service: Main process exited, code=exited, status=203/EXEC
10:46 Started xmrig-cleaner.service - XMRig Cleaner Service.
10:46 xmrig-cleaner.service: Scheduled restart job, restart counter is at 320.

bag

1. root@linux:~/sftp# cat  ~/sftp/config.json
   
2. {
   
3.     "api": {
   
4.         "id": null,
   
5.         "worker-id": null
   
6.     },
   
7.     "http": {
   
8.         "enabled": false,
   
9.         "host": "127.0.0.1",
   
10.         "port": 0,
    
11.         "access-token": null,
    
12.         "restricted": true
    
13.     },
    
14.     "autosave": true,
    
15.     "background": false,
    
16.     "colors": false,
    
17.     "title": true,
    
18.     "randomx": {
    
19.         "init": -1,
    
20.         "init-avx2": 0,
    
21.         "mode": "auto",
    
22.         "1gb-pages": false,
    
23.         "rdmsr": true,
    
24.         "wrmsr": true,
    
25.         "cache_qos": false,
    
26.         "numa": true,
    
27.         "scratchpad_prefetch_mode": 1
    
28.     },
    
29.     "cpu": {
    
30.         "enabled": true,
    
31.         "huge-pages": true,
    
32.         "huge-pages-jit": false,
    
33.         "hw-aes": null,
    
34.         "priority": null,
    
35.         "memory-pool": true,
    
36.         "yield": true,
    
37.         "asm": true,
    
38.         "argon2-impl": null,
    
39.         "argon2": [0, 1],
    
40.         "cn": [
    
41.             [1, 0],
    
42.             [1, 1]
    
43.         ],
    
44.         "cn-heavy": [
    
45.             [1, 0],
    
46.             [1, 1]
    
47.         ],
    
48.         "cn-lite": [
    
49.             [1, 0],
    
50.             [1, 1]
    
51.         ],
    
52.         "cn-pico": [
    
53.             [2, 0],
    
54.             [2, 1]
    
55.         ],
    
56.         "cn/2": [
    
57.             [1, 0],
    
58.             [1, 1]
    
59.         ],
    
60.         "cn/gpu": [
    
61.             [1, 0],
    
62.             [1, 1]
    
63.         ],
    
64.         "cn/upx2": [
    
65.             [2, 0],
    
66.             [2, 1]
    
67.         ],
    
68.         "flex": [0, 1],
    
69.         "ghostrider": [
    
70.             [8, 0],
    
71.             [8, 1]
    
72.         ],
    
73.         "panthera": [0, 1],
    
74.         "rx": [0, 1],
    
75.         "rx/wow": [0, 1],
    
76.         "cn-lite/0": false,
    
77.         "cn/0": false,
    
78.         "rx/xeq": "rx/wow",
    
79.         "rx/arq": "rx/wow",
    
80.         "rx/keva": "rx/wow"
    
81.     },
    
82.     "log-file": null,
    
83.     "donate-level": 0,
    
84.     "donate-over-proxy": 1,
    
85.     "pools": [
    
86.         {
    
87.             "algo": null,
    
88.             "coin": null,
    
89.             "url": "auto.c3pool.org:17777",
    
90.             "user": "88LDNGE7BiYaSVHqDGuew1i6mvX4ufhrB7g1C5YaNCSPcUzG3aVTuTaKw25yrfcu88YrSoQDyUYCifKkfU4zYPSd75YP8Ah",
    
91.             "pass": "x",
    
92.             "rig-id": null,
    
93.             "nicehash": false,
    
94.             "keepalive": true,
    
95.             "enabled": true,
    
96.             "tls": false,
    
97.             "sni": false,
    
98.             "tls-fingerprint": null,
    
99.             "daemon": false,
    
100.             "socks5": null,
     
101.             "self-select": null,
     
102.             "submit-to-origin": false
     
103.         }
     
104.     ],
     
105.     "retries": 5,
     
106.     "retry-pause": 5,
     
107.     "print-time": 60,
     
108.     "dmi": true,
     
109.     "syslog": false,
     
110.     "tls": {
     
111.         "enabled": false,
     
112.         "protocols": null,
     
113.         "cert": null,
     
114.         "cert_key": null,
     
115.         "ciphers": null,
     
116.         "ciphersuites": null,
     
117.         "dhparam": null
     
118.     },
     
119.     "dns": {
     
120.         "ipv6": false,
     
121.         "ttl": 30
     
122.     },
     
123.     "user-agent": null,
     
124.     "verbose": 0,
     
125.     "watch": true,
     
126.     "rebench-algo": false,
     
127.     "bench-algo-time": 20,
     
128.     "algo-min-time": 0,
     
129.     "algo-perf": {
     
130.         "cn/0": 66.65614478114477,
     
131.         "cn/1": 37.40281571758773,
     
132.         "cn/2": 37.40281571758773,
     
133.         "cn/r": 37.40281571758773,
     
134.         "cn/fast": 74.80563143517546,
     
135.         "cn/half": 74.80563143517546,
     
136.         "cn/xao": 37.40281571758773,
     
137.         "cn/rto": 37.40281571758773,
     
138.         "cn/rwz": 49.87042095678363,
     
139.         "cn/zls": 49.87042095678363,
     
140.         "cn/double": 18.701407858793864,
     
141.         "cn/ccx": 133.31228956228955,
     
142.         "cn-lite/0": 151.00882723833544,
     
143.         "cn-lite/1": 151.00882723833544,
     
144.         "cn-heavy/xhv": 52.072375341889334,
     
145.         "cn-pico": 1396.842105263158,
     
146.         "cn-pico/tlo": 1396.842105263158,
     
147.         "cn/gpu": 14.73063973063973,
     
148.         "rx/0": 109.0182047774387,
     
149.         "rx/arq": 456.74594822142706,
     
150.         "rx/xeq": 456.74594822142706,
     
151.         "rx/graft": 106.18817091138708,
     
152.         "rx/sfx": 109.0182047774387,
     
153.         "panthera": 712.3013785120488,
     
154.         "argon2/chukwav2": 1057.678139143248,
     
155.         "kawpow": -1.0,
     
156.         "ghostrider": 93.36557670066239,
     
157.         "flex": 100.65208245687842
     
158.     },
     
159.     "pause-on-battery": false,
     
160.     "pause-on-active": false
     
161. }

复制代码

icest

是不是没有把 qemu-guest-agent 停掉

bag

目前先把这俩服务禁用了，保留现场瞅瞅

QQ云

我的开不了机了。。。

bag

icest 发表于 2025-5-27 10:52
是不是没有把 qemu-guest-agent 停掉

的确是启动的。我来停掉卸载了这个服务。 等这阵风头过去了，重装一下系统。

HM773

我的DD过系统 应该不会被挂马吧

bag

估计你们的机器也有这些病毒挖矿任务

还有一个  /usr/lib/systemd/system/quotaoff.service  可能是毒？ 已经停了卸载了。

匿名ㅤ

QQ云 发表于 2025-5-27 10:57
我的开不了机了。。。

我的也无法开机了
然后回复是

1. 感谢您在我们全面调查此事期间的耐心等待。感谢您的理解。
   
2. 
   
3. 正如我们之前的电子邮件中所述，一个事件影响了 ColoCloud 平台。该问题目前已得到完全缓解；但是，您的 VPS 所在的一小部分服务器因该事件而遭受了数据丢失。
   
4. 
   
5. 我们已经重新创建了您的 VPS，并已将新的访问详情发送给您。请尽快查看。
   
6. 
   
7. ColoCloud 团队正在努力确保所有客户都能完全恢复，我们真诚感谢您给予我们为您服务的机会。如果您有任何疑问或需要进一步的帮助，请随时联系我们。我们随时准备为您提供帮助。
   
8. 
   
9. Shane W，
   
10. Chicagovps.net

复制代码