【警惕】LeitboGi0ro 默认密码蠕虫:默认密码DD完-仅10分钟变下一台肉鸡

wsa01378 2026-07-14 03:50 1

蜜罐VPS发现有异样,claude code审计发现本vps一直在对别人撞库,

还显示成功撞库了42台ip,

给42台植入同样群控agent同时还打包资产推送到木马制造者


vps是甲骨文,用的LeitboGi0ro一键脚本DD。

默认密码dd后10分钟被撞库成功中招。



用此脚本的朋友,要加自定义密码-pwd,参考下面结尾


wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -debian 13 -pwd '77834dae-0954-4d7e-b3fb-8ab591c20acb'

claude code审计:


默认密码 LeitboGi0ro(及 123@@@)的 VPS 被蠕虫扫描 22/5522。
中招后会装 masscan + SSH 撞库、横向种 bendi.py,并上报:
sou.pp.ua(登记 IP)、sexy.pp.ua(Komari 面板)、Telegram 通知。

谁在上报:monitor_script.py(/opt/monitor)+ bendi.py;常驻受控:komari-agent→sexy.pp.ua。
谁在扫人:/root/.s/run_scan.sh + ssh_scanner.py。

自查:
systemctl list-units --type=service --all | grep -E 'scan-runner|file-monitor|komari'
ls /root/.s /opt/monitor /opt/komari 2>/dev/null
cat /root/.ssh/authorized_keys
ps aux | grep -iE 'masscan|ssh_scanner|komari|monitor_script' | grep -v grep
grep -RInE 'sou\.pp\.ua|sexy\.pp\.ua' /opt/monitor /etc/systemd/system 2>/dev/null | head

最新回复 (1)
  • schwarz 07-14 04:22
    1

    这个怪不了什么,心太大了,不要用22端口 弱密码就是

* 帖子来源Linux.do
返回