本文讲了最近一两年遇到的一些挖矿病毒,虽然不知道怎么感染的,但是一直在公司系统中反复进化了几次,还挺有特色,通过谷歌似乎也搜索不到一些域名,本着曝光的目的发一下博客。
1. 一些病毒域名
应该是一些CC控制器的域名,主要是太有特色,看起来很不像域名,感觉又像是一个大机构的域名
| audio.cpi.sh
audio.pci.sh
retry.sshd.fail
service.ssh.run
gpu.cpi.sh
gpu.pci.sh
pid.ssh.run
init.cpi.sh
nvidia.cpi.sh
open.ssh.run
reboot.sshd.fail
retry.ssh.run
eu.sshd.fail
init.ssh.run
codex.ssh.run
irc.sshd.fail
login.ssh.run
lib.sshd.fail
lib.ssh.fail
sbin.download
network.sshd.run
open.sshd.run
retry.sshd.run
slot1.pci.sh
login.sshd.run
pid.sshd.run
codex.sshd.run
init.pci.sh
error.sshd.run
eu.ssh.fail
nvidia.pci.sh
reboot.ssh.fail
irc.ssh.fail
service.sshd.run
init.sshd.run
|
2. 一些病毒ip
这些ip大概是病毒的ip
| 3.163.125.19
5.250.178.69
15.204.198.198
18.173.117.128
23.228.66.219
24.144.68.252
24.144.69.125
24.199.68.241
45.125.0.6
45.79.33.42
59.5.106.105
82.76.255.62
85.215.204.106
94.125.182.255
104.192.7.239
104.248.100.245
124.221.5.37
138.68.113.5
139.59.206.74
143.244.208.21
146.190.4.21
146.190.12.201
152.228.218.54
154.38.114.42
159.65.136.167
172.83.156.122
172.104.170.240
178.128.242.134
185.198.56.60
185.117.74.172
194.164.174.213
194.233.80.217
199.247.27.41
209.38.6.242
209.38.174.34
209.38.180.198
212.227.166.174
212.227.231.142
212.227.239.116
212.227.241.109
216.225.202.220
217.160.36.159
|
3. 一些病毒ip v6
| 2a06:3d81:a::2
2607:8500:154::2
2a05:9341:11::2
2610:150:8019::1:a102
2605:6440:1007::6667
2604:6600:2000:27::6667
|
4. 一些病毒代码
| TODO
主要是进程隐藏
xmrig挖矿
开机隐藏
|