.dhpcd 挖矿程序-Southcat

最近杜甫上出现了一个.dhpcd名称的文件,直接占用50% CPU,上网一查才知道是挖矿病毒,国内有一台机器和这杜甫用一样的脚本安装的环境,结果国内的机器就没有只有杜甫有,机器用过 jerry048的一键盒子配置脚本,bt.sy的宝塔破解版脚本 总共就这两个脚本 还有一个自己编译的ServerStatus 不知道坛子里的其他坛友有没有遇到过这问题

多了一个ssh密钥

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+jShBbDBbtdOX3/ksHNVNStA/jPE0HYD7u6V2Efjv9K+AEbklMsytD9T60Iu3ua+ugBrP5hL7zAjPHpXH8qW4Ku7dySZ4yvH

多了一个用户admin

热议
2楼 ahiven 昨天22:35

虽然没遇到过，但帮顶，希望更多人看到

3楼 Southcat 昨天22:37

root密码可以放心 随机生成的 已经遇到过两次了

4楼 Southcat 昨天22:48

2023-02-10 15:45:13 Debian-1106-bullseye-amd64-base CRON[38112]: (admin) CMD (/home/admin/.dhpcd -o pool.supportxmr.com:80 -B >/dev/null 2>/dev/null) 定时任务日志,很奇怪查不到admin这个用户的登录日志,应该是删除了

5楼 ahiven 昨天22:56

看来是埋了后门了。。

6楼 Southcat 昨天23:02

看来是埋了后门了。。

同样的脚本 部署在两台机器上 就这台杜甫一直出问题,还挑机器下手

7楼 ahiven 昨天23:05

它都给你新建了一个用户，说不定监控着你的机子呢。。

8楼 dangyixin 昨天23:11

bt.sy安装完，开系统加固试试

9楼 Southcat 昨天23:20

它都给你新建了一个用户，说不定监控着你的机子呢。。

之前发现过一次 然后删除文件 没动用户 等了半个月也没再有动静了

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。