V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fengxianqi
V2EX  ›  程序员

服务器被黑,大佬们看看这个脚本是用来做什么的

  •  
  •   fengxianqi ·
    fengxianqi · 2020-04-09 08:58:39 +08:00 · 5563 次点击
    这是一个创建于 1689 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天发现测试用的一个服务器被 ssh 进来了,cpu 一整天跑满了 100%,监控发现下载了这个脚本,大佬们一起帮忙看看:

    http://193.169.252.230/ssh1.txt

    20 条回复    2020-04-09 17:07:14 +08:00
    tankren
        1
    tankren  
       2020-04-09 09:07:14 +08:00
    一般都是挖矿
    h503mc
        2
    h503mc  
       2020-04-09 09:08:12 +08:00 via iPhone
    远控?
    Nitroethane
        3
    Nitroethane  
       2020-04-09 09:08:42 +08:00   ❤️ 2
    大概扫了一眼,是用 perl 写的后门脚本,利用 IRC 协议下发指令
    hiyouli
        4
    hiyouli  
       2020-04-09 09:13:11 +08:00 via Android
    之前一台服务器也被黑了,一直都没注意。哎,估计是被挖矿了。现在黑进去也不搞事情,就偷偷用资源
    fox0001
        5
    fox0001  
       2020-04-09 09:14:24 +08:00 via Android
    @Nitroethane #3 目测自带文件浏览功能
    vhysug01
        6
    vhysug01  
       2020-04-09 09:25:40 +08:00
    服务器开得端口太多了呀
    yulihao
        7
    yulihao  
       2020-04-09 09:33:57 +08:00
    访问被拒绝
    无法提供所请求的网址

    http://193.169.252.230/ssh1.txt
    已被网页反病毒阻止

    原因: 危险网址

    检测方法: 云保护

    如果您认为该网页被错误地阻止,请单击此处。应用程序将不再阻止它。

    消息生成时间: 9:32:57
    fengxianqi
        8
    fengxianqi  
    OP
       2020-04-09 09:56:02 +08:00
    @yulihao #7 啥意思,你打不开这个地址吗?这个地址是入侵者在入侵后,wget 的
    opengps
        9
    opengps  
       2020-04-09 10:00:17 +08:00 via Android
    我不懂 php,但我看了有种感觉是能把通过 url 命令传进服务器执行的感觉
    Xusually
        10
    Xusually  
       2020-04-09 10:06:49 +08:00
    没细看
    盲猜扫描别人 IRC 服务器,灌垃圾信息的 IRC SPAM ?
    q428202849
        11
    q428202849  
       2020-04-09 10:07:00 +08:00
    修改下端口 把密码设置的复杂些
    purensong
        12
    purensong  
       2020-04-09 10:12:40 +08:00
    能说下是怎么发现的这个脚本吗
    dianso
        13
    dianso  
       2020-04-09 10:13:24 +08:00 via Android
    发送 5G 信号
    gearfox
        14
    gearfox  
       2020-04-09 10:14:09 +08:00
    访问被阻止
    无法访问该网页

    对象网址:

    http://193.169.252.230/ssh1.txt
    原因: 对象被感染 Backdoor.Perl.Shellbot.cd

    消息生成时间: 2020/4/9 10:13:41
    lcy630409
        15
    lcy630409  
       2020-04-09 10:16:14 +08:00
    访问被拒绝
    无法提供所请求的网址

    http://193.169.252.230/ssh1.txt
    已被网页反病毒阻止

    原因: 危险网址

    检测方法: 云保护

    如果您认为该网页被错误地阻止,请单击此处。应用程序将不再阻止它。

    消息生成时间: 10:16:00
    leafre
        16
    leafre  
       2020-04-09 10:24:08 +08:00
    my $IRC_socket = IO::Socket::INET->new(Proto=>"tcp", PeerAddr=>"$servidor_con", PeerPort=>$porta_con) or return(1);
    liyongjun0803
        17
    liyongjun0803  
       2020-04-09 12:52:11 +08:00
    装 Redis 了吗?我之前也被黑了,中的是 kerberods 病毒,CPU 100%。入侵者是利用 Redis 的未认证漏洞入侵的,然后把系统的指令都重定向成他自己的了,所以用指令删都删不掉病毒文件。最后无奈重装。
    症状及查杀: https://www.cnblogs.com/kobexffx/p/11000337.html
    noobcoder1
        18
    noobcoder1  
       2020-04-09 12:52:27 +08:00
    我擦 这玩意咋那么像聊天室。。。。。
    noobcoder1
        19
    noobcoder1  
       2020-04-09 13:01:00 +08:00
    牛逼啊 这是个资深大佬干的啊 连彼此之间的交流工具都自己写 。。。。。666
    Dreax
        20
    Dreax  
       2020-04-09 17:07:14 +08:00
    很多变量名还是葡萄牙语
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1087 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 18:52 · PVG 02:52 · LAX 10:52 · JFK 13:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.