今天发现公司一台服务器出了点问题,同事装了病毒扫描工具后,找到下面的文件,文件的内容不知道是干嘛的:
SERVER 89.147.111.226 80
SERVER 51.195.42.59 8080
SERVER 51.75.68.83 81
ADMIN tdbVy16enNevo9vU
ADMIN ueTMxp2aouTB
######## bot 1 ########
IDENT Memmet
REALNAME Alexander Simon
NICKNAMES
CHANNEL cOTfzV6WmNW22MrZIpY
VHOST
CMDCHAR #
对于这种玩意,大哥们平时怎么防护
1
seers 2023-04-21 18:58:32 +08:00 via Android
看起来像是环境变量
|
2
nealHuang OP @seers 这个是 cfg 文件,隔壁有个运行脚本,看不到内容,这些 ip 貌似都是公网 ip ,能 ping 通
|
3
jackyzy823 2023-04-21 19:24:43 +08:00 via Android
感觉是基于 irc 的木马
|
4
29EtwXn6t5wgM3fD 2023-04-21 19:41:10 +08:00
IRC 机器人的配置文件
|
5
nealHuang OP IRC 吗,我去了解下,第一次听
|
6
kerb15 2023-04-21 20:10:44 +08:00
泰裤辣
|
7
GoodRui 2023-04-21 22:12:58 +08:00
楼主装的病毒扫描工具是什么?公司用户的一台服务器好像也中招了,一颗 CPU 全核心 100%负载,但是看 top ,htop 什么的都排查不出问题,docker 也是重启一下全起不来了…
|
9
Quarter 2023-04-21 22:36:15 +08:00 via iPhone
被攻击真的是一件非常麻烦的事情,感觉就不干净了,哪哪都不舒服
|
10
GoodRui 2023-04-21 22:37:24 +08:00
@k1z 看了,没有,而且还安装了 htop 之类的其它显示进程的工具,一样看不出任何倪端。就前 32 核心全部 100%,后面的 32 个核心负载都在 5%以下。但是 top 之类的进程查看工具看到的所有进程 CPU 占用都在 1%左右。网络流量也几乎没有,磁盘 io 也很低很低。看了两天也没看出什么问题,本来要来 v 站求助大佬的,结果昨天重启后服务器失联了...现在在联系机房的运维人员,准备重装系统了...
|
13
AIyunfangyu 2023-06-30 10:48:00 +08:00
可以了解下我们防御,DDOS CC ,劫持挖矿都能防 V:with--tea
|