大神们看看这是啥病毒！

76 天前

phli

centos 腾讯云，根目录，var 、opt 、mnt 等好多目录有一些 uuid 的文件，大小一致 3m 多。另外 crontab 定时任务 2 秒执行一次，
*/2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &

目录里如下：
019ed232-aa01-456c-a947-fa82d52bc5a8
4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
9dc51365-9dc0-459f-965f-a1e299fe6c5b
e3ad48cb-0153-4609-a146-8dd59a347d9e
01be6ec4-7757-4415-8faa-4c4d0764e800
4e5a7cec-b598-4110-81b0-07dbfca62ebd
9f1fe3f8-a37c-401d-8800-922924f5832b
e42a7fe0-9848-47d7-8613-c454072ba138
01f78874-c7ae-46b9-838e-2e022ea61501
4f2dbd09-9992-4047-ba92-2cc36fae0aea
a1159df4-bf0a-4ece-8936-b99d5fd1405e
e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
046948a8-2c24-4d27-93df-34dbd3f5edd5

编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ，还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。

1933 次点击

所在节点

信息安全

13 条回复

lzhd24

76 天前

目测黑掉太阳系的代号巨牛逼的神秘病毒的 uuid

proxytoworld

75 天前

你连样本都不给，怎么看，uuid 随机的啊

phli

75 天前

@proxytoworld http://116.198.228.200/xx.zip 这是病毒文件谢谢

phli

75 天前

还有一个 http://116.198.228.200/yy.zip

proxytoworld

75 天前

go 写的恶意文件，只是一个木马，可能会把你的机器当作跳板

proxytoworld

75 天前

回连这几个 IP

165.22.36.39
165.232.106.186
167.71.162.175
68.183.84.27
152.42.176.136

https://www.virustotal.com/gui/file/9a5d68ca481091fbfde4d63087a836412bc8805b9a7cae000bd53899b0399e87/behavior

看起来会启动一个代理服务器，根据命令行参数猜测
/tmp/-bash-f9a99699-0b6b-4709-a071-c10cbad3798d -c -p 80 -p 8080 -p 443 -tls -dp 80 -dp 8080 -dp 443 -tls -d

patrickyoung

75 天前

botnet (你的机器会被用于 ddos 的肉鸡) + xmrig 挖矿

patrickyoung

75 天前

cmseasy 的系统，大概率是哪里有洞+弱口令了

proxytoworld

75 天前

下次把压缩包加一个密码，你这压缩包有木马，被人举报，别人访问你的域名或者 IP 会报毒

proxytoworld

75 天前

git 还是放内网吧，直接暴露端口

virusdefender

75 天前

99% 是最终用于挖矿的

phli

74 天前

@proxytoworld 感谢。

phli

74 天前

@patrickyoung 别的机器中的毒，我只是放在这不重要的服务器上了。感谢

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054366

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.