全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 762|回复: 8
打印 上一主题 下一主题

.dhpcd 挖矿程序

[复制链接]
跳转到指定楼层
1#
发表于 2023-2-10 22:33:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 Southcat 于 2023-2-10 22:44 编辑

最近杜甫上出现了一个.dhpcd名称的文件,直接占用50% CPU,上网一查才知道是挖矿病毒,国内有一台机器和这杜甫用一样的脚本安装的环境,结果国内的机器就没有只有杜甫有,机器用过 jerry048的一键盒子配置脚本,bt.sy的宝塔破解版脚本 总共就这两个脚本 还有一个自己编译的ServerStatus 不知道坛子里的其他坛友有没有遇到过这问题


多了一个ssh密钥
  1. ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+jShBbDBbtdOX3/ksHNVNStA/jPE0HYD7u6V2Efjv9K+AEbklMsytD9T60Iu3ua+ugBrP5hL7zAjPHpXH8qW4Ku7dySZ4yvH
复制代码


多了一个用户admin
2#
发表于 2023-2-10 22:35:41 | 只看该作者
虽然没遇到过,但帮顶,希望更多人看到
3#
 楼主| 发表于 2023-2-10 22:37:39 | 只看该作者
root密码可以放心 随机生成的 已经遇到过两次了
4#
 楼主| 发表于 2023-2-10 22:48:13 | 只看该作者
2023-02-10 15:45:13        Debian-1106-bullseye-amd64-base        CRON[38112]: (admin) CMD (/home/admin/.dhpcd -o pool.supportxmr.com:80 -B >/dev/null 2>/dev/null)   定时任务日志,很奇怪查不到admin这个用户的登录日志,应该是删除了
5#
发表于 2023-2-10 22:56:12 | 只看该作者
看来是埋了后门了。。
6#
 楼主| 发表于 2023-2-10 23:02:58 | 只看该作者
ahiven 发表于 2023-2-10 22:56
看来是埋了后门了。。

同样的脚本 部署在两台机器上 就这台杜甫一直出问题,还挑机器下手
7#
发表于 2023-2-10 23:05:06 | 只看该作者
它都给你新建了一个用户,说不定监控着你的机子呢。。
8#
发表于 2023-2-10 23:11:52 | 只看该作者
bt.sy安装完,开系统加固试试
9#
 楼主| 发表于 2023-2-10 23:20:55 | 只看该作者
ahiven 发表于 2023-2-10 23:05
它都给你新建了一个用户,说不定监控着你的机子呢。。

之前发现过一次 然后删除文件 没动用户 等了半个月也没再有动静了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-10-23 08:42 , Processed in 0.104518 second(s), 10 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表