最近杜甫上出现了一个.dhpcd名称的文件,直接占用50% CPU,上网一查才知道是挖矿病毒,国内有一台机器和这杜甫用一样的脚本安装的环境,结果国内的机器就没有只有杜甫有,机器用过 jerry048的一键盒子配置脚本,bt.sy的宝塔破解版脚本 总共就这两个脚本 还有一个自己编译的ServerStatus 不知道坛子里的其他坛友有没有遇到过这问题
多了一个ssh密钥
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+jShBbDBbtdOX3/ksHNVNStA/jPE0HYD7u6V2Efjv9K+AEbklMsytD9T60Iu3ua+ugBrP5hL7zAjPHpXH8qW4Ku7dySZ4yvH
多了一个用户admin
热议
2楼 ahiven 昨天22:35
虽然没遇到过,但帮顶,希望更多人看到
3楼 Southcat 昨天22:37
root密码可以放心 随机生成的 已经遇到过两次了
4楼 Southcat 昨天22:48
2023-02-10 15:45:13 Debian-1106-bullseye-amd64-base CRON[38112]: (admin) CMD (/home/admin/.dhpcd -o pool.supportxmr.com:80 -B >/dev/null 2>/dev/null) 定时任务日志,很奇怪查不到admin这个用户的登录日志,应该是删除了
5楼 ahiven 昨天22:56
看来是埋了后门了。。
6楼 Southcat 昨天23:02
看来是埋了后门了。。
同样的脚本 部署在两台机器上 就这台杜甫一直出问题,还挑机器下手
7楼 ahiven 昨天23:05
它都给你新建了一个用户,说不定监控着你的机子呢。。
8楼 dangyixin 昨天23:11
bt.sy安装完,开系统加固试试
9楼 Southcat 昨天23:20
它都给你新建了一个用户,说不定监控着你的机子呢。。
之前发现过一次 然后删除文件 没动用户 等了半个月也没再有动静了
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。