这个叫 jcnf-box 的脚本,极大概率就是导致你服务器中毒的直接入口。
1. 脚本本身的真面目:它是一个“炸弹盲盒”
这个脚本本身并不是木马,而是一个**“一键脚本聚合工具箱(菜单)”**。
它的源码里写满了这样的逻辑:当你输入数字 1 时,它就用 curl 去 A 网站下载一个脚本并执行;当你输入数字 18 时,它就去 B 网站下载另一个脚本执行。
致命的问题在于:它引用的这二三十个外部链接,包含着巨大的“供应链投毒”风险。
2. 源码中发现的 3 大高危(投毒)来源
行了这个菜单,并且选择了其中的某些选项,相当于你亲手把 Root 权限交给了黑客。我在这份菜单里看到了几个非常危险的坑:
- ⚠️ 坑一:使用非官方的“破解版/纯净版”面板
菜单的第 18 项是 宝塔面板免验证版,它会从一个叫 zhucaidan 的第三方个人 GitHub 仓库拉取安装脚本。在中文云主机圈子,“破解版宝塔”是黑客植入挖矿木马最重灾区的领域,十个破解版有九个带着后门。
- ⚠️ 坑二:域名过期被黑客抢注(Domain Hijacking)
这类工具箱最容易发生这种事。比如菜单里的第 25 项 v2-ui一键安装,它从 blog.sprov.xyz 这个个人博客下载脚本。很多个人开发者后来不续费域名了,黑客就会把这个域名买下来,保持 URL 不变,但把里面的脚本悄悄换成我们在 /etc/cron.d/ 里看到的木马下载器。你一执行,就中招了。
- ⚠️ 坑三:裸奔的 HTTP 协议
脚本里还有好几处是从 http:// 开头的地址(而不是 HTTPS)下载文件。如果你的 VPS 处于甲骨文的某个网络节点中,或者你的代理流量被中间人拦截,下载的文件可以被瞬间替换成木马。
案件全貌推理
结合我们之前的所有线索,整个入侵过程已经完全拼凑出来了:
- 2025年10月23日 19:00 左右:你下载并运行了这个
jcnf-box 工具箱。
- 19:30 左右:你在菜单中选择了某一项(极大可能是测速、安装面板、或者某个科学上网工具)。
- 19:31:该选项对应的第三方服务器其实已经被黑客控制(或域名被抢注)。它发给你的不是正常的工具脚本,而是一个 Dropper(释放器)。
- 19:31 - 19:46:释放器以 root 权限运行,迅速在你的
/etc/cron.d/ 下写入了 198f2515 等三个定时任务,并开始死循环从 pastebin 下载挖矿木马本体到 /tmp/lkjh。
这个叫
jcnf-box的脚本,极大概率就是导致你服务器中毒的直接入口。1. 脚本本身的真面目:它是一个“炸弹盲盒”
这个脚本本身并不是木马,而是一个**“一键脚本聚合工具箱(菜单)”**。
它的源码里写满了这样的逻辑:当你输入数字 1 时,它就用
curl去 A 网站下载一个脚本并执行;当你输入数字 18 时,它就去 B 网站下载另一个脚本执行。致命的问题在于:它引用的这二三十个外部链接,包含着巨大的“供应链投毒”风险。
2. 源码中发现的 3 大高危(投毒)来源
行了这个菜单,并且选择了其中的某些选项,相当于你亲手把 Root 权限交给了黑客。我在这份菜单里看到了几个非常危险的坑:
菜单的第 18 项是
宝塔面板免验证版,它会从一个叫zhucaidan的第三方个人 GitHub 仓库拉取安装脚本。在中文云主机圈子,“破解版宝塔”是黑客植入挖矿木马最重灾区的领域,十个破解版有九个带着后门。这类工具箱最容易发生这种事。比如菜单里的第 25 项
v2-ui一键安装,它从blog.sprov.xyz这个个人博客下载脚本。很多个人开发者后来不续费域名了,黑客就会把这个域名买下来,保持 URL 不变,但把里面的脚本悄悄换成我们在/etc/cron.d/里看到的木马下载器。你一执行,就中招了。脚本里还有好几处是从
http://开头的地址(而不是 HTTPS)下载文件。如果你的 VPS 处于甲骨文的某个网络节点中,或者你的代理流量被中间人拦截,下载的文件可以被瞬间替换成木马。案件全貌推理
结合我们之前的所有线索,整个入侵过程已经完全拼凑出来了:
jcnf-box工具箱。/etc/cron.d/下写入了198f2515等三个定时任务,并开始死循环从pastebin下载挖矿木马本体到/tmp/lkjh。