0
点赞
收藏
分享

微信扫一扫

遭遇syst3md挖矿病毒(3)--终章

小暴龙要抱抱 2022-04-14 阅读 75
dba

先讲个段子:

一个黑客给了你一把钥匙,告诉你,拿它打开门,就可以进去自己家了,当你进去之后,发现总有些奇怪,但就是说不出来。当你遇到这种情况,请冷静下来,因为你进入的并不是你的家,而是黑客用假象给你封装了一个虚拟的家。

有人会说,前面已经清除过病毒了,为什么还有一篇,有什么可写的,因为年轻~,因为对病毒的程序认知不足,最终还是有漏网之鱼:总结就是在/etc/init.d、/usr/bin、/etc/cron.d/ 目录下隐藏着多种木马启动程序,最终都以busybox之名启动,以busybox为关键字,反向进操作系统目录进行寻找。取其中的一段启动程序内容看下:

最终将病毒程序的位置、权限、名称总结成了一个表格,给需要帮助的人看:

名称权限位置别名
crondr----ia----------/usr/binbusybox
initr
sysdr
/etc/rc.d/init.d/  /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.d/ /etc/rc.d/rc.local 以上目录存放的可疑程序

经过对上述目录下的木马文件进行清除后,cpu负载最终正常了~

感谢腾讯许老师的鼎力支持~

举报

相关推荐

0 条评论