记录群友unraid被植入哈希宝挖矿程序排查过程

记录群友unraid被植入哈希宝挖矿程序排查过程

Aming
2021-04-29 / 0 评论 / 134 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2021年05月26日,已超过113天没有更新,若内容或图片失效,请留言反馈。

前言

最近群里经常有群友反映unraid Cpu占用率近乎100%,使用htop命令查看,会发现是haxibao进程在占用,得了,这是被抓了当肉鸡了。
kocwtj3u.png

排查

这位群友的哈希宝肉鸡已经跑了55个H了,庆幸的是没有重启过机器,具体排查过程就不说了,直接上结果吧,输入history能看到命令行执行历史。
kocx8buv.png
第2条意思是:静默下载哈希宝部署脚本,以XX账号运行脚本,运行后删除脚本。

和哈希宝官网的部署方式如出一辙:
kocxcewq.png

我下载了workmore.sh部署脚本,打开后如下:
kocxdbvh.png

这个脚本里已经写的很明显了,在root目录下创建behash文件夹→下载down.tar.gz解压→解压后删除压缩包→运行肉鸡程序。
behash路径下的文件:
kocxgwbn.png

怎么做不用我说了吧,当然是删除这些文件重启呀!

ps:这位群友的心真大,root没设置账户密码。人才呀
kocxyj7q.png

0

评论 (0)

取消