挖矿程式使用Haiduc……
目录 /tmp/.md/
脚本
字典文件
爆破记录
内网主机banner
haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。
目录中存在字典文件、爆破记录
黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本
该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程
生成的重要恶意文件 例:
自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备
userdel -r -f username
# -r 删除用户家目录及其中的文件和邮件目录
# -f 强制删除
挖矿目录
删除
爆破目录
删除
所有病毒文件除爆破和挖矿外均在test和test1用户目录下
本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。
作者:Joejb
来源:https://www.52pojie.cn/thread-1828132-1-1.html