多玩幻灵qwq (@huanlin) 在雨云服务器购买一天后ssh被爆（复盘）中发帖本人朋友与 2025/3/19 下午四点左右购入一台 2c4g 小鸡用于某业务 3/29 发现服务器流量几乎消耗殆尽，开始排查业务发现过程首先是要确认哪个进程流量最多，结果开了个 nettop 盯了几分钟都没发现异常的进程于是将当前所有进程名导出，发给了 Gemini Gemini 分析认为一个名字带 update 的进程非常可疑，但是我并没有发现这个进程消耗大量网络资源搜索后发现这玩意就是个病毒 [89452f319b2cf35547cbef64054bdce8] 确切植入时间为第二天下午 5 点，ssh 被爆破并植入挖矿/ssh 爆破病毒（肉鸡网络） [image] 反正都快月底了那干脆研究一下这个玩意病毒特征首先这个病毒的特征是占用大量网络和 CPU 但在我服务器上并未占用 CPU，可能是看不起我他会不断地去扫描所有 v4 的 ip 并尝试...

多玩幻灵qwq (@huanlin) 在雨云服务器购买一天后ssh被爆（复盘）中发帖

本人朋友与 2025/3/19 下午四点左右购入一台 2c4g 小鸡用于某业务 
3/29 发现服务器流量几乎消耗殆尽，开始排查业务 
发现过程
首先是要确认哪个进程流量最多，结果开了个 nettop 盯了几分钟都没发现异常的进程 
于是将当前所有进程名导出，发给了 Gemini 
Gemini 分析认为一个名字带 update 的进程非常可疑，但是我并没有发现这个进程消耗大量网络资源 
搜索后发现这玩意就是个病毒 
 [89452f319b2cf35547cbef64054bdce8] 
确切植入时间为第二天下午 5 点，ssh 被爆破并植入挖矿/ssh 爆破病毒（肉鸡网络） 
 [image] 
反正都快月底了那干脆研究一下这个玩意 
病毒特征
首先这个病毒的特征是 占用大量网络和 CPU 
但在我服务器上并未占用 CPU，可能是看不起我 
他会不断地去扫描所有 v4 的 ip 并尝试...