1.拿到了一個靶機,top檢查,發現有一個進程CPU利用率一直在百分之百,經過特征對比,發現是挖礦木馬
2.利用 ll /proc/端口ID/exe 定位木馬文件所在位置
3.rm -rf 刪除掉木馬文件
4.原本以為搞定了,過了一會發現還是有利用率百分之百情況
5.查看 cat /var/spool/cron 發現有一個定時任務,wget一個腳本 十分鍾執行一次
6,查看腳本文件 發現他在做綁定資源文件,然后創建木馬,執行,並刪除
7. ps -aux | grep 進程id 鎖定位置,進入文件目錄位置,發現沒有這個文件
8.然后氣得我直接把 /usr/local/lib 里面的文件全刪掉了,記過GG了
9.待定補充