脚本检测qinglong面板是否被恶意入侵

飞牛和绿联都在昨天今天分别公布停用青龙面板，绿联更是在公告中写清楚了具体情况。

青龙官方GitHub仓库中收到多个用户反馈，称其存在一个可被远程利用的高危安全漏洞。

攻击者利用此漏洞植入挖矿木马，会在设备中生成名为.fullgc的隐藏进程。

建议大家如果有用过青龙的，自行检查下。
不会检查的，我后文也贴了脚本一键检查。


专项检查：

1. #!/bin/bash
   
2. 
   
3. echo "======================================"
   
4. echo " Qinglong 挖矿木马专项检测工具"
   
5. echo "======================================"
   
6. echo
   
7. 
   
8. FOUND=0
   
9. 
   
10. # -----------------------------
    
11. # 1️⃣ 检查 Qinglong 容器
    
12. # -----------------------------
    
13. echo "[1] 检查 Qinglong 容器..."
    
14. 
    
15. QL_CONTAINER=$(docker ps -a --format '{{.Names}}' | grep -i qinglong)
    
16. 
    
17. if [[ -z "$QL_CONTAINER" ]]; then
    
18.     echo "未发现 qinglong 容器"
    
19. else
    
20.     echo "发现容器: $QL_CONTAINER"
    
21. 
    
22.     echo "正在解析挂载路径..."
    
23.     MOUNTS=$(docker inspect "$QL_CONTAINER" 2>/dev/null | grep -A 5 '"Destination": "/ql/data"' | grep '"Source"' | awk -F '"' '{print $4}')
    
24. 
    
25.     if [[ -z "$MOUNTS" ]]; then
    
26.         echo "未找到 /ql/data 挂载路径，尝试查找常规挂载..."
    
27.         MOUNTS=$(docker inspect "$QL_CONTAINER" | grep '"Source"' | awk -F '"' '{print $4}')
    
28.     fi
    
29. 
    
30.     for DIR in $MOUNTS; do
    
31.         if [[ -d "$DIR/db" ]]; then
    
32.             TARGET="$DIR/db"
    
33.         else
    
34.             TARGET="$DIR"
    
35.         fi
    
36. 
    
37.         echo "扫描目录: $TARGET"
    
38.         RESULT=$(find "$TARGET" -type f -name ".fullgc" 2>/dev/null)
    
39. 
    
40.         if [[ -n "$RESULT" ]]; then
    
41.             echo "⚠ 发现可疑文件:"
    
42.             echo "$RESULT"
    
43.             FOUND=1
    
44.         else
    
45.             echo "未发现 .fullgc"
    
46.         fi
    
47.     done
    
48. fi
    
49. 
    
50. echo
    
51. # -----------------------------
    
52. # 2️⃣ 扫描常见高危路径
    
53. # -----------------------------
    
54. echo "[2] 扫描常见系统路径..."
    
55. 
    
56. COMMON_PATHS="/var /root /opt /ugreen"
    
57. 
    
58. for P in $COMMON_PATHS; do
    
59.     if [[ -d "$P" ]]; then
    
60.         echo "扫描 $P ..."
    
61.         RESULT=$(find "$P" -type f -name ".fullgc" 2>/dev/null)
    
62.         if [[ -n "$RESULT" ]]; then
    
63.             echo "⚠ 在 $P 发现可疑文件:"
    
64.             echo "$RESULT"
    
65.             FOUND=1
    
66.         else
    
67.             echo "未发现异常"
    
68.         fi
    
69.     fi
    
70. done
    
71. 
    
72. echo
    
73. # -----------------------------
    
74. # 3️⃣ 检查隐藏进程
    
75. # -----------------------------
    
76. echo "[3] 检查隐藏进程..."
    
77. 
    
78. PROC=$(ps aux | grep "\.fullgc" | grep -v grep)
    
79. 
    
80. if [[ -n "$PROC" ]]; then
    
81.     echo "⚠ 发现可疑进程:"
    
82.     echo "$PROC"
    
83.     FOUND=1
    
84. else
    
85.     echo "未发现 .fullgc 进程"
    
86. fi
    
87. 
    
88. echo
    
89. # -----------------------------
    
90. # 4️⃣ 检查高CPU异常进程
    
91. # -----------------------------
    
92. echo "[4] 检查高CPU占用进程..."
    
93. 
    
94. TOPPROC=$(ps -eo pid,comm,%cpu --sort=-%cpu | head -n 6)
    
95. 
    
96. echo "$TOPPROC"
    
97. 
    
98. echo "$TOPPROC" | grep -q ".fullgc"
    
99. if [[ $? -eq 0 ]]; then
    
100.     FOUND=1
     
101. fi
     
102. 
     
103. echo
     
104. # -----------------------------
     
105. # 结果判断
     
106. # -----------------------------
     
107. if [[ $FOUND -eq 1 ]]; then
     
108.     echo "======================================"
     
109.     echo "⚠ 系统存在高风险迹象！建议立即排查"
     
110.     echo "======================================"
     
111. else
     
112.     echo "======================================"
     
113.     echo "✓ 未发现明显挖矿木马特征"
     
114.     echo "======================================"
     
115. fi

复制代码

把以上代码复制到设备，文件命名为ql_scan.sh，然后执行：

1. chmod +x ql_scan.sh
   
2. sudo ./ql_scan.sh

复制代码

或者，也可以用我的在线脚本一条命令执行：

1. curl -fsSL https://raw.githubusercontent.com/jonysun/bash/main/ql_scan.sh | sudo bash

复制代码

如果查出有问题，建议停止进程，彻底删除目录中.fullgc，停用qinglong容器，关闭外网连接。
然后直接找绿联技术支持

大佬！！！