这是一个创建于 466 天前的主题,其中的信息可能已经有所发展或是发生改变。
centos 腾讯云,根目录,var 、opt 、mnt 等好多目录有一些 uuid 的文件,大小一致 3m 多。另外 crontab 定时任务 2 秒执行一次,
*/2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &
目录里如下:
019ed232-aa01-456c-a947-fa82d52bc5a8
4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
9dc51365-9dc0-459f-965f-a1e299fe6c5b
e3ad48cb-0153-4609-a146-8dd59a347d9e
01be6ec4-7757-4415-8faa-4c4d0764e800
4e5a7cec-b598-4110-81b0-07dbfca62ebd
9f1fe3f8-a37c-401d-8800-922924f5832b
e42a7fe0-9848-47d7-8613-c454072ba138
01f78874-c7ae-46b9-838e-2e022ea61501
4f2dbd09-9992-4047-ba92-2cc36fae0aea
a1159df4-bf0a-4ece-8936-b99d5fd1405e
e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
046948a8-2c24-4d27-93df-34dbd3f5edd5
编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ,还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。
*/2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &
目录里如下:
019ed232-aa01-456c-a947-fa82d52bc5a8
4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
9dc51365-9dc0-459f-965f-a1e299fe6c5b
e3ad48cb-0153-4609-a146-8dd59a347d9e
01be6ec4-7757-4415-8faa-4c4d0764e800
4e5a7cec-b598-4110-81b0-07dbfca62ebd
9f1fe3f8-a37c-401d-8800-922924f5832b
e42a7fe0-9848-47d7-8613-c454072ba138
01f78874-c7ae-46b9-838e-2e022ea61501
4f2dbd09-9992-4047-ba92-2cc36fae0aea
a1159df4-bf0a-4ece-8936-b99d5fd1405e
e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
046948a8-2c24-4d27-93df-34dbd3f5edd5
编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ,还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。
 | 1 lzhd24 2024-07-02 22:47:22 +08:00 via Android 目测黑掉太阳系的代号巨牛逼的神秘病毒的 uuid |
 | 2 proxytoworld 2024-07-03 09:46:45 +08:00 你连样本都不给,怎么看,uuid 随机的啊 |
 | 3 phli OP @proxytoworld http://116.198.228.200/xx.zip 这是病毒文件 谢谢 |
| 4 phli OP 还有一个 http://116.198.228.200/yy.zip |
| 5 proxytoworld 2024-07-03 10:59:58 +08:00 go 写的恶意文件,只是一个木马,可能会把你的机器当作跳板 |
| 6 proxytoworld 2024-07-03 11:02:50 +08:00 回连这几个 IP 165.22.36.39 165.232.106.186 167.71.162.175 68.183.84.27 152.42.176.136 https://www.virustotal.com/gui/file/9a5d68ca481091fbfde4d63087a836412bc8805b9a7cae000bd53899b0399e87/behavior 看起来会启动一个代理服务器,根据命令行参数猜测 /tmp/-bash-f9a99699-0b6b-4709-a071-c10cbad3798d -c -p 80 -p 8080 -p 443 -tls -dp 80 -dp 8080 -dp 443 -tls -d |
 | 7 patrickyoung 2024-07-03 11:13:35 +08:00 botnet (你的机器会被用于 ddos 的肉鸡) + xmrig 挖矿 |
| 8 patrickyoung 2024-07-03 11:14:08 +08:00 cmseasy 的系统,大概率是哪里有洞+弱口令了 |
| 9 proxytoworld 2024-07-03 16:53:25 +08:00  1 下次把压缩包加一个密码,你这压缩包有木马,被人举报,别人访问你的域名或者 IP 会报毒 |
| 10 proxytoworld 2024-07-03 16:55:41 +08:00 git 还是放内网吧,直接暴露端口 |
 | 11 virusdefender 2024-07-03 17:59:02 +08:00 99% 是最终用于挖矿的 |
| 12 phli OP @proxytoworld 感谢。 |
| 13 phli OP @patrickyoung 别的机器中的毒,我只是放在这不重要的服务器上了。感谢 |
Select Language