前段时间买了个国外的服务器玩一玩,顺便安装了qbittorrent进行刷流。由于qb内置的RSS订阅规则不够丰富,今天想着安装个Nastools进行刷流。添加完站点,部署刷流任务时发现响应十分缓慢,心想着Nastool占用也不是很高吧,就ssh到了服务器,不看不要紧,一看发现有一个进程把CPU给占满了,还运行了4天。

网上搜索了一下SyGIcPtf找到了一个帖子。根据这个帖子上说的,这是一个挖矿病毒,通过qbittorrent传入病毒并修改运行外部程序。我突然想到前几天qbittorrent里有一个我没有添加下载但存在的文件,当时也没在意就只是删除了。
随后,我也在qbittorrent设置中发现了我的运行外部程序也被勾选上了。并且我也确实没有修改默认用户名密码...


后续我用ps -ef | grep SyGIcPtf查看进程,可以看到有两个。

之后使用kill -9 23608rm -f ./SyGIcPtf杀掉进程并删除。

再使用top查看进程时cpu占用已经恢复正常了。

不过,对另一个进程使用kill时,我就会断开ssh连接,但我只会killrm。 ∠( ᐛ 」∠)_
就先这样观察看看吧,即使病毒恢复工作,我也能重置服务器,我的服务也都是用docker搭建的,恢复起来还是很快哒!

本文作者:VeShian

本文链接:https://veshian.cn/archives/malware.html

版权声明:转载时须注明出处及本声明