V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
phli
V2EX  ›  信息安全

大神们看看这是啥病毒!

  •  
  •   phli · 142 天前 · 2021 次点击
    这是一个创建于 142 天前的主题,其中的信息可能已经有所发展或是发生改变。
    centos 腾讯云,根目录,var 、opt 、mnt 等好多目录有一些 uuid 的文件,大小一致 3m 多。另外 crontab 定时任务 2 秒执行一次,
    */2 * * * * nohup /opt/7871f1a9-5f6d-4276-b55f-25e4b997a8ff >/dev/null 2>&1 &

    目录里如下:
    019ed232-aa01-456c-a947-fa82d52bc5a8
    4b3ddd93-37f3-45ed-9ceb-c8b4711dabf3
    9dc51365-9dc0-459f-965f-a1e299fe6c5b
    e3ad48cb-0153-4609-a146-8dd59a347d9e
    01be6ec4-7757-4415-8faa-4c4d0764e800
    4e5a7cec-b598-4110-81b0-07dbfca62ebd
    9f1fe3f8-a37c-401d-8800-922924f5832b
    e42a7fe0-9848-47d7-8613-c454072ba138
    01f78874-c7ae-46b9-838e-2e022ea61501
    4f2dbd09-9992-4047-ba92-2cc36fae0aea
    a1159df4-bf0a-4ece-8936-b99d5fd1405e
    e9aeeda8-5e50-49c3-8cb0-4b32fdfa2b28
    046948a8-2c24-4d27-93df-34dbd3f5edd5



    编辑器打开是.ELF 开头的程序。查了下是汇编的 elf64-x86-64 ,还有 UPX 加壳。。服务器 cpu 内存没爆满不知这是啥病毒。请个大神指导一二。
    13 条回复    2024-07-04 08:43:22 +08:00
    lzhd24
        1
    lzhd24  
       142 天前 via Android
    目测黑掉太阳系的代号巨牛逼的神秘病毒的 uuid
    proxytoworld
        2
    proxytoworld  
       141 天前
    你连样本都不给,怎么看,uuid 随机的啊
    phli
        3
    phli  
    OP
       141 天前
    @proxytoworld http://116.198.228.200/xx.zip 这是病毒文件 谢谢
    phli
        4
    phli  
    OP
       141 天前
    还有一个 http://116.198.228.200/yy.zip
    proxytoworld
        5
    proxytoworld  
       141 天前
    go 写的恶意文件,只是一个木马,可能会把你的机器当作跳板
    proxytoworld
        6
    proxytoworld  
       141 天前
    回连这几个 IP

    165.22.36.39
    165.232.106.186
    167.71.162.175
    68.183.84.27
    152.42.176.136

    https://www.virustotal.com/gui/file/9a5d68ca481091fbfde4d63087a836412bc8805b9a7cae000bd53899b0399e87/behavior

    看起来会启动一个代理服务器,根据命令行参数猜测
    /tmp/-bash-f9a99699-0b6b-4709-a071-c10cbad3798d -c -p 80 -p 8080 -p 443 -tls -dp 80 -dp 8080 -dp 443 -tls -d
    patrickyoung
        7
    patrickyoung  
       141 天前
    botnet (你的机器会被用于 ddos 的肉鸡) + xmrig 挖矿
    patrickyoung
        8
    patrickyoung  
       141 天前
    cmseasy 的系统,大概率是哪里有洞+弱口令了
    proxytoworld
        9
    proxytoworld  
       141 天前   ❤️ 1
    下次把压缩包加一个密码,你这压缩包有木马,被人举报,别人访问你的域名或者 IP 会报毒
    proxytoworld
        10
    proxytoworld  
       141 天前
    git 还是放内网吧,直接暴露端口
    virusdefender
        11
    virusdefender  
       141 天前
    99% 是最终用于挖矿的
    phli
        12
    phli  
    OP
       140 天前
    @proxytoworld 感谢。
    phli
        13
    phli  
    OP
       140 天前
    @patrickyoung 别的机器中的毒,我只是放在这不重要的服务器上了。感谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1093 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 18:50 · PVG 02:50 · LAX 10:50 · JFK 13:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.