发现的威胁 1. 两个后门脚本连接到不同 C2 服务器: - upload1.sh → 43.137.36.226:8443 - acc.sh → 129.226.166.220:8443 2. 已下载的恶意二进制文件(在 /tmp/): - 042d0094tcp (9.8KB, 12 月 7 日) - 10bbf0d5tcp (9.8KB, 12 月 8 日今天) - linux (4.9MB, 12 月 6 日) - up.sh (887B, 12 月 7 日) 攻击时间线:12 月 6 日首次入侵 → 持续到今天 这就是 CVE-2025-55182 (React2Shell) 的真实利用案例!让我检查网络连接和进程 极度危险!这是一个完整的 APT 攻击链! 新发现的威胁( up.sh ) 第三个攻击基础设施: - C2 服务器:66.154.106.246:8088 - 持久化控制:dashboard.checkstauts.site:443 (Nezha 监控面板) - 数据外泄到 Telegram: - Bot Token: 8038512553:AAE5bq4egtOSchroDThsKywK7puwfVm0ZdM - 攻击者 User ID: 1200447594 服务器拿 docker 起了一个 umami ,前两天让 gpt 给我升级下 nodeJS 结果内存干炸了,重启了下就没管,昨天就中招了...
发现了这个监控:dashboard.checkstauts.site 这都是丫成功了的肉鸡?真牛
好像宿主机没什么问题,docker 删了 重新部署吧
 | 1 PerFectTime 6 小时 54 分钟前 看有没有挂载 shell, docker.socks 这种,如果没有的话大概率没有问题,删了重建就可以 |
 | 2 duzhuo 3 小时 54 分钟前 不是 怎么还挂上探针了 |
Select Language