遇到挖矿软件,怎么删都删不掉
1 个赞
本地删除了文件 还是会自动去网上拉安装包
1 个赞
先看一下定时任务之类的有没有被配置什么东西,然后检查下自启动 /etc/init.d那些,清完重启试试
1 个赞
说明还有后台进程,你该看的不只是进程基本信息,还应该看netstat,用到的端口和流量。
最安全的方法是把数据备份,然后重装系统。
估计是做了隐藏 ps和netstat可能都看不到 先看他是怎么做的驻留 把驻留点清理掉之后重启可能可以解决
也可以看下他挖矿病毒是从哪拉的,能顺着找到点样本啥的
因为不太懂网络安全这块
一开始看的是从香港的一台服务器拉的 但看不出啥 我先试试你上面说的
香港服务器ip发来看看
一般会选择放在临时目录或者日志目录里面
嗯平时用的话,wget和curl之类的用完最好就卸载了
也可以先用iptables先把他ip拉黑了试试
182.237.3.142 这个ip
微步上有样本,可以看到具体行为,可以根据行为去看一下怎么解决
样本报告-微步在线云沙箱
是靠拉服务做的持久化,/etc/systemd/system/networkxm.service
样本报告-微步在线云沙箱
好的 感谢 佬
他创建了十几个用户 我好像只能看到root的定时任务
其他用户的密钥也都给删了,不然他能一直连你,你如果有什么弱口令或者什么有漏洞的服务最好也排查一下
重装系统。 