这是一个创建于 125 天前的主题,其中的信息可能已经有所发展或是发生改变。
centos 腾讯云,根目录,var 、opt 、mnt 等好多目录有一些 uuid 的文件,大小一致 3m 多。另外 crontab 定时任务 2 秒执行一次,
*/2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &
目录里如下:
019ed232-aa01-456c-a947-fa82d52bc5a8
4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
9dc51365-9dc0-459f-965f-a1e299fe6c5b
e3ad48cb-0153-4609-a146-8dd59a347d9e
01be6ec4-7757-4415-8faa-4c4d0764e800
4e5a7cec-b598-4110-81b0-07dbfca62ebd
9f1fe3f8-a37c-401d-8800-922924f5832b
e42a7fe0-9848-47d7-8613-c454072ba138
01f78874-c7ae-46b9-838e-2e022ea61501
4f2dbd09-9992-4047-ba92-2cc36fae0aea
a1159df4-bf0a-4ece-8936-b99d5fd1405e
e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
046948a8-2c24-4d27-93df-34dbd3f5edd5
编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ,还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。
*/2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &
目录里如下:
019ed232-aa01-456c-a947-fa82d52bc5a8
4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
9dc51365-9dc0-459f-965f-a1e299fe6c5b
e3ad48cb-0153-4609-a146-8dd59a347d9e
01be6ec4-7757-4415-8faa-4c4d0764e800
4e5a7cec-b598-4110-81b0-07dbfca62ebd
9f1fe3f8-a37c-401d-8800-922924f5832b
e42a7fe0-9848-47d7-8613-c454072ba138
01f78874-c7ae-46b9-838e-2e022ea61501
4f2dbd09-9992-4047-ba92-2cc36fae0aea
a1159df4-bf0a-4ece-8936-b99d5fd1405e
e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
046948a8-2c24-4d27-93df-34dbd3f5edd5
编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ,还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。
13 条回复 • 2024-07-04 08:43:22 +08:00
 |
1
lzhd24 125 天前 via Android
目测黑掉太阳系的代号巨牛逼的神秘病毒的 uuid
|
 |
2
proxytoworld 125 天前
你连样本都不给,怎么看,uuid 随机的啊
|
 |
3
phli OP @proxytoworld http://116.198.228.200/xx.zip 这是病毒文件 谢谢
|
|
4
phli OP 还有一个 http://116.198.228.200/yy.zip
|
|
5
proxytoworld 125 天前
go 写的恶意文件,只是一个木马,可能会把你的机器当作跳板
|
|
6
proxytoworld 125 天前
回连这几个 IP
165.22.36.39 165.232.106.186 167.71.162.175 68.183.84.27 152.42.176.136 https://www.virustotal.com/gui/file/9a5d68ca481091fbfde4d63087a836412bc8805b9a7cae000bd53899b0399e87/behavior 看起来会启动一个代理服务器,根据命令行参数猜测 /tmp/-bash-f9a99699-0b6b-4709-a071-c10cbad3798d -c -p 80 -p 8080 -p 443 -tls -dp 80 -dp 8080 -dp 443 -tls -d |
 |
7
patrickyoung 125 天前
botnet (你的机器会被用于 ddos 的肉鸡) + xmrig 挖矿
|
|
8
patrickyoung 125 天前
cmseasy 的系统,大概率是哪里有洞+弱口令了
|
|
9
proxytoworld 125 天前  1
下次把压缩包加一个密码,你这压缩包有木马,被人举报,别人访问你的域名或者 IP 会报毒
|
|
10
proxytoworld 125 天前
git 还是放内网吧,直接暴露端口
|
 |
11
virusdefender 125 天前
99% 是最终用于挖矿的
|
|
12
phli OP @proxytoworld 感谢。
|
|
13
phli OP @patrickyoung 别的机器中的毒,我只是放在这不重要的服务器上了。感谢
|
Select Language