昨天发现测试用的一个服务器被 ssh 进来了,cpu 一整天跑满了 100%,监控发现下载了这个脚本,大佬们一起帮忙看看:
1
tankren 2020-04-09 09:07:14 +08:00
一般都是挖矿
|
2
h503mc 2020-04-09 09:08:12 +08:00 via iPhone
远控?
|
3
Nitroethane 2020-04-09 09:08:42 +08:00 2
大概扫了一眼,是用 perl 写的后门脚本,利用 IRC 协议下发指令
|
4
hiyouli 2020-04-09 09:13:11 +08:00 via Android
之前一台服务器也被黑了,一直都没注意。哎,估计是被挖矿了。现在黑进去也不搞事情,就偷偷用资源
|
5
fox0001 2020-04-09 09:14:24 +08:00 via Android
@Nitroethane #3 目测自带文件浏览功能
|
6
vhysug01 2020-04-09 09:25:40 +08:00
服务器开得端口太多了呀
|
7
yulihao 2020-04-09 09:33:57 +08:00
访问被拒绝
无法提供所请求的网址 http://193.169.252.230/ssh1.txt 已被网页反病毒阻止 原因: 危险网址 检测方法: 云保护 如果您认为该网页被错误地阻止,请单击此处。应用程序将不再阻止它。 消息生成时间: 9:32:57 |
8
fengxianqi OP @yulihao #7 啥意思,你打不开这个地址吗?这个地址是入侵者在入侵后,wget 的
|
9
opengps 2020-04-09 10:00:17 +08:00 via Android
我不懂 php,但我看了有种感觉是能把通过 url 命令传进服务器执行的感觉
|
10
Xusually 2020-04-09 10:06:49 +08:00
没细看
盲猜扫描别人 IRC 服务器,灌垃圾信息的 IRC SPAM ? |
11
q428202849 2020-04-09 10:07:00 +08:00
修改下端口 把密码设置的复杂些
|
12
purensong 2020-04-09 10:12:40 +08:00
能说下是怎么发现的这个脚本吗
|
13
dianso 2020-04-09 10:13:24 +08:00 via Android
发送 5G 信号
|
14
gearfox 2020-04-09 10:14:09 +08:00
访问被阻止
无法访问该网页 对象网址: http://193.169.252.230/ssh1.txt 原因: 对象被感染 Backdoor.Perl.Shellbot.cd 消息生成时间: 2020/4/9 10:13:41 |
15
lcy630409 2020-04-09 10:16:14 +08:00
访问被拒绝
无法提供所请求的网址 http://193.169.252.230/ssh1.txt 已被网页反病毒阻止 原因: 危险网址 检测方法: 云保护 如果您认为该网页被错误地阻止,请单击此处。应用程序将不再阻止它。 消息生成时间: 10:16:00 |
16
leafre 2020-04-09 10:24:08 +08:00
my $IRC_socket = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$servidor_con", PeerPort=>$porta_con) or return(1);
|
17
liyongjun0803 2020-04-09 12:52:11 +08:00
装 Redis 了吗?我之前也被黑了,中的是 kerberods 病毒,CPU 100%。入侵者是利用 Redis 的未认证漏洞入侵的,然后把系统的指令都重定向成他自己的了,所以用指令删都删不掉病毒文件。最后无奈重装。
症状及查杀: https://www.cnblogs.com/kobexffx/p/11000337.html |
18
noobcoder1 2020-04-09 12:52:27 +08:00
我擦 这玩意咋那么像聊天室。。。。。
|
19
noobcoder1 2020-04-09 13:01:00 +08:00
牛逼啊 这是个资深大佬干的啊 连彼此之间的交流工具都自己写 。。。。。666
|
20
Dreax 2020-04-09 17:07:14 +08:00
很多变量名还是葡萄牙语
|