1.拿到了一个靶机,top检查,发现有一个进程CPU利用率一直在百分之百,经过特征对比,发现是挖矿木马
2.利用 ll /proc/端口ID/exe 定位木马文件所在位置
3.rm -rf 删除掉木马文件
4.原本以为搞定了,过了一会发现还是有利用率百分之百情况
5.查看 cat /var/spool/cron 发现有一个定时任务,wget一个脚本 十分钟执行一次
6,查看脚本文件 发现他在做绑定资源文件,然后创建木马,执行,并删除
7. ps -aux | grep 进程id 锁定位置,进入文件目录位置,发现没有这个文件
8.然后气得我直接把 /usr/local/lib 里面的文件全删掉了,记过GG了
9.待定补充