发现的威胁
1. 两个后门脚本连接到不同 C2 服务器:
- upload1.sh → 43.137.36.226:8443
- acc.sh → 129.226.166.220:8443
2. 已下载的恶意二进制文件(在 /tmp/):
- 042d0094tcp (9.8KB, 12 月 7 日)
- 10bbf0d5tcp (9.8KB, 12 月 8 日今天)
- linux (4.9MB, 12 月 6 日)
- up.sh (887B, 12 月 7 日)
攻击时间线:12 月 6 日首次入侵 → 持续到今天
这就是 CVE-2025-55182 (React2Shell) 的真实利用案例!让我检查网络连接和进程
⏺ 🔥 极度危险!这是一个完整的 APT 攻击链!
新发现的威胁( up.sh )
第三个攻击基础设施:
- C2 服务器:66.154.106.246:8088
- 持久化控制:dashboard.checkstauts.site:443 (Nezha 监控面板)
- 数据外泄到 Telegram:
- Bot Token: 8038512553:AAE5bq4egtOSchroDThsKywK7puwfVm0ZdM
- 攻击者 User ID: 1200447594
服务器拿 docker 起了一个 umami ,前两天让 gpt 给我升级下 nodeJS 结果内存干炸了,重启了下就没管,昨天就中招了...
发现了这个监控:dashboard.checkstauts.site 这都是丫成功了的肉鸡?真牛
好像宿主机没什么问题,docker 删了 重新部署吧
Select Language