疑似乌龙，群晖都被挂挖矿了，有吊大的看看能解密

zzr

与以下文章类似的进程，但是各种办法找寻进程位置都是根目录。**改为c*n
https://**blogs.com/MWCloud/p/11490275.html



rc.zip (1.27 KB, 下载次数: 27)

2023-3-21 08:59 上传

点击文件名下载附件

#!/bin/sh
skip=49

tab='        '
nl='
'
IFS=" $tab$nl"

umask=`umask`
umask 77

gztmpdir=
trap 'res=$?
  test -n "$gztmpdir" && rm -fr "$gztmpdir"
  (exit $res); exit $res
' 0 1 2 3 5 10 13 15

case $TMPDIR in
  / | /*/) ;;
  /*) TMPDIR=$TMPDIR/;;
  *) TMPDIR=/tmp/;;
esac
if type mktemp >/dev/null 2>&1; then
  gztmpdir=`mktemp -d "${TMPDIR}gztmpXXXXXXXXX"`
else
  gztmpdir=${TMPDIR}gztmp$$; mkdir $gztmpdir
fi || { (exit 127); exit 127; }

gztmp=$gztmpdir/$0
case $0 in
-* | */*'
') mkdir -p "$gztmp" && rm -r "$gztmp";;
*/*) gztmp=$gztmpdir/`basename "$0"`;;
esac || { (exit 127); exit 127; }

case `printf 'X\n' | tail -n +1 2>/dev/null` in
X) tail_n=-n;;
*) tail_n=;;
esac
if tail $tail_n +$skip <"$0" | gzip -cd > "$gztmp"; then
  umask $umask
  chmod 700 "$gztmp"
  (sleep 5; rm -fr "$gztmpdir") 2>/dev/null &
  "$gztmp" ${1+"$@"}; res=$?
else
  printf >&2 '%s\n' "Cannot decompress $0"
  (exit 127); res=127
fi; exit $res
?n2`rc.local 鍠Mk訮喿莎8嵚=-Ra:垖蠳)偮X$撥様鋐H畲t∷b?婻p璕菎熴縤&戈_?秙疺檪6嬅!襄='锕7丧点c5馜d{??ō_1??
岔踪嫿t痤蹆狍糸勺杨 {鵳鬭/=豋??;ng忁?飖C[K嚮檑a鰁疸舞馰s€阨R_a嬽謗}Ii4&Rυ&滍?撛5??|3+酾]濖﹜ＹXRn諿鯑襤-?邊6H梪        鍭Z慲U$垄o?" 鰽vA韣笲儢g?嬯E`P碃&?\jri瀒5-僴滩
,TL労P誅禇膉挓L簬E?牘甔佭颽艓B1殂(A窈o#? ?J?p?㈦?鹽?鬧c煌?p狳骒顋S鳆?|焢w?x>M饲泣??S3x揳S髽D-鲜ln駷襱h╒?X媐?,卺@E
澦3嫔垂??桄箭浕sJm蠷拪埈v?進l9T 粂[B褩@?佉膗%???傾髙1聿灾涔?\誂???屨?太翫?貛#L琋~u?m荃??u?  

ok-

这个好像不是挖矿啊 好像是一个广告,这个是解密之后的执行文件

1. #!/bin/sh
   
2. echo -e "\e[1;33m 买猫盘就选：咪叽数码淘宝店，独家120j引导绝不掉IP  \e[0m"
   
3. echo -e "\e[1;31m =================== MAOPAN.CC =================== \e[0m"
   
4. echo -e "\e[1;31m |                                               | \e[0m"
   
5. echo -e "\e[1;31m |                  Enjoy  it !                  | \e[0m"
   
6. echo -e "\e[1;31m |                                               | \e[0m"
   
7. echo -e "\e[1;31m =============== MIJICN.TAOBAO.COM =============== \e[0m"
   
8. if [ "$1" = "R" ]
   
9. then
   
10. i2cset -y -f 0 0x45 0x00 0x55
    
11. i2cset -y -f 0 0x45 0x01 0x01
    
12. i2cset -y -f 0 0x45 0x31 0x03
    
13. i2cset -y -f 0 0x45 0x32 0x03
    
14. i2cset -y -f 0 0x45 0x33 0x03
    
15. i2cset -y -f 0 0x45 0x30 0x07
    
16. i2cset -y -f 0 0x45 0x34 128
    
17. i2cset -y -f 0 0x45 0x35 0
    
18. i2cset -y -f 0 0x45 0x36 0
    
19. 
    
20. sleep 60
    
21. /usr/sbin/ntpdate -u ntp1.aliyun.com
    
22. synoservicectl --restart ddnsd
    
23. fi
    
24. 
    
25. if [ "$1" = "G" ]
    
26. then
    
27. i2cset -y -f 0 0x45 0x00 0x55
    
28. i2cset -y -f 0 0x45 0x01 0x01
    
29. i2cset -y -f 0 0x45 0x31 0x03
    
30. i2cset -y -f 0 0x45 0x32 0x03
    
31. i2cset -y -f 0 0x45 0x33 0x03
    
32. i2cset -y -f 0 0x45 0x30 0x07
    
33. i2cset -y -f 0 0x45 0x34 0
    
34. i2cset -y -f 0 0x45 0x35 128
    
35. i2cset -y -f 0 0x45 0x36 0
    
36. 
    
37. sleep 60
    
38. /usr/sbin/ntpdate -u ntp1.aliyun.com
    
39. synoservicectl --restart ddnsd
    
40. fi
    
41. 
    
42. if [ "$1" = "B" ]
    
43. then
    
44. i2cset -y -f 0 0x45 0x00 0x55
    
45. i2cset -y -f 0 0x45 0x01 0x01
    
46. i2cset -y -f 0 0x45 0x31 0x03
    
47. i2cset -y -f 0 0x45 0x32 0x03
    
48. i2cset -y -f 0 0x45 0x33 0x03
    
49. i2cset -y -f 0 0x45 0x30 0x07
    
50. i2cset -y -f 0 0x45 0x34 0
    
51. i2cset -y -f 0 0x45 0x35 0
    
52. i2cset -y -f 0 0x45 0x36 128
    
53. 
    
54. sleep 60
    
55. /usr/sbin/ntpdate -u ntp1.aliyun.com
    
56. synoservicectl --restart ddnsd
    
57. fi
    
58. 
    
59. if [ "$1" = "W" ]
    
60. then
    
61. i2cset -y -f 0 0x45 0x00 0x55
    
62. i2cset -y -f 0 0x45 0x01 0x01
    
63. i2cset -y -f 0 0x45 0x31 0x03
    
64. i2cset -y -f 0 0x45 0x32 0x03
    
65. i2cset -y -f 0 0x45 0x33 0x03
    
66. i2cset -y -f 0 0x45 0x30 0x07
    
67. i2cset -y -f 0 0x45 0x34 128
    
68. i2cset -y -f 0 0x45 0x35 128
    
69. i2cset -y -f 0 0x45 0x36 128
    
70. 
    
71. sleep 60
    
72. /usr/sbin/ntpdate -u ntp1.aliyun.com
    
73. synoservicectl --restart ddnsd
    
74. fi
    
75. 
    
76. if [ "$1" = "" ]
    
77. then
    
78. i2cset -y -f 0 0x45 0x00 0x55
    
79. i2cset -y -f 0 0x45 0x01 0x01
    
80. i2cset -y -f 0 0x45 0x30 0x07
    
81.         
    
82. i2cset -y -f 0 0x45 0x31 0x72
    
83. i2cset -y -f 0 0x45 0x32 0x72
    
84. i2cset -y -f 0 0x45 0x33 0x72
    
85.         
    
86. i2cset -y -f 0 0x45 0x37 0x44  
    
87. i2cset -y -f 0 0x45 0x3a 0x55
    
88. i2cset -y -f 0 0x45 0x3d 0x66      
    
89. 
    
90. i2cset -y -f 0 0x45 0x38 0x44
    
91. i2cset -y -f 0 0x45 0x3b 0x55
    
92. i2cset -y -f 0 0x45 0x3e 0x66
    
93. i2cset -y -f 0 0x45 0x39 0x40
    
94. i2cset -y -f 0 0x45 0x3c 0x40
    
95. i2cset -y -f 0 0x45 0x3f 0x40
    
96. 
    
97. i2cset -y -f 0 0x45 0x34 128
    
98. i2cset -y -f 0 0x45 0x35 128
    
99. i2cset -y -f 0 0x45 0x36 128
    
100. 
     
101. sleep 60
     
102. /usr/sbin/ntpdate -u ntp1.aliyun.com
     
103. synoservicectl --restart ddnsd
     
104. fi
     
105. 
     
106. if [ "$1" = "X" ]
     
107. then
     
108. i2cset -y -f 0 0x45 0x00 0x55
     
109. 
     
110. sleep 60
     
111. /usr/sbin/ntpdate -u ntp1.aliyun.com
     
112. synoservicectl --restart ddnsd
     
113. fi
     
114. 
     
115. if [ -f "/etc/power_sched.conf" ]
     
116.         then
     
117.         if cat '/etc/power_sched.conf' | head -n 2 | grep '[0-9]' > /dev/null
     
118.                 then
     
119.                 rm -f  /etc/power_sched.conf
     
120.                 rm -f  /etc/crontab
     
121.                 reboot
     
122.         fi
     
123. fi

复制代码

whl32

这也能，套件别乱装，端口小心隐射

sunsun

看了一下也有，这啥东东？

920c

你装盗版了？正常官方的插件不会有这个问题呢

Aa.

我的也有，应该不是吧？

炒土豆丝

别吓我，我也有这几个进程。

whl32

sunsun 发表于 2023-3-21 09:12
看了一下也有，这啥东东？

你一说，我看了一下我的群晖也有，难道中了？

whl32

这么多，有的谎，研究一下

whl32

研究了一下，bioset并不一定是病毒，这个是Linux的内核进程，只要CPU这些正常，不用过渡担心

lelilo

同样有啊，应该不是吧