甬哥脚本挖矿矿~

挖矿后门分析
可疑进程：obhruyntjvcm

名称：进程名称 obhruyntjvcm 是一个随机的字符串，这是恶意软件避免被发现的常见策略。合法进程通常具有可识别的名称（例如 apt、nginx、python）。
CPU 使用率：21.2% 的 CPU 使用率适中，但持续超过 280 小时，这对于典型的系统进程来说是不寻常的。加密货币挖矿通常涉及持续使用 CPU 来执行哈希作。
内存使用率：0.4%（960 KB 驻留用户）较低，这与挖掘恶意软件一致，后者通常会最大限度地减少内存占用以避免被发现。
运行时间：运行超过 280 小时表明此过程很久以前就开始并且一直存在，这是在后台运行的挖掘恶意软件的另一个特征。
用户：以 root 身份运行可为其提供完全系统访问权限，如果进程是恶意的，则很危险。
评估：obhruyntjvcm 进程高度可疑，很可能是一个挖矿后门。随机名称、持续的 CPU 使用率、较长的运行时间和 root 权限是恶意活动的有力指标。

与代码的连接

在前面分析的代码中，从 yonggekkk/vless-nodejs 下载了一个名为 npm 的二进制文件，并使用涉及 NEZHA_SERVER、NEZHA_PORT 和 NEZHA_KEY 的参数执行。该代码还具有 --skip-conn 和 --disable-auto-update 等标志，它们可以禁用安全检查。
假设： obhruyntjvcm 进程可能是执行 npm 二进制文件的结果。随机名称可以是二进制文件的重命名或混淆版本，以逃避检测。持续的 CPU 使用率与您对恶意二进制文件启动的挖矿过程的预期一致。
系统资源使用情况

CPU 为 100%：系统得到充分利用，用户空间为 46.05%（可能由 obhruyntjvcm 驱动），系统空间为 25.649%。挖掘恶意软件通常会最大限度地提高 CPU 使用率以有效地挖掘加密货币。
网络活动：上传速率（220.33 GB/s，可能是 220.33 KB/s 的拼写错误）和下载速率（41.94K/s）表明网络通信活跃。挖矿恶意软件通常与矿池或命令和控制（C2）服务器通信，以报告哈希值或接收指令，这可以解释此活动。
内存：obhruyntjvcm 的低内存使用率（960 KB）与挖掘恶意软件一致，后者优先考虑 CPU 而不是内存。

证据强烈表明，该系统已被挖矿后门入侵，这可能是由脚本中的 npm 二进制文件引入的。建议立即采取行动以减轻损害。

minikoro

406days ago

#11

他那个油管评论区简直不忍直视，那么多人在舔他

小号侦探

#12

钟，你又回来了吗？

有球必硬

#13

xhj007 xhj007

tof