求救!!在服务器上发现的病毒文件
今天阿里云发短信提示有恶意程序执行晚上上服务器一看 有两个文件,麻烦大佬们帮忙分析下病毒文件都做了什么事如何清除(不知道是否已经执行,可能隐藏了进程 top 命令查不到)。如果可以分析道如何 上传到服务器的更好{:1_893:}
文件解压密码:52pojie
https://wws.lanzouj.com/iPSdae16xnc run.sh脚本大致的意思是 先结束三个关于阿里云盾的进程, 然后判断有没有关于tcpp或者wc文件 有的话执行,没有的话就下载文件 并且写入计划任务,计划任务名字叫做 whoami,最后进行自删除。不知道我说的对不对 后面有大神的话 可以继续补充,看脚本的意思应该是被植入了挖矿程序 cutthesoul 发表于 2020-6-25 21:52
run.sh脚本大致的意思是 先结束三个关于阿里云盾的进程, 然后判断有没有关于tcpp或者wc文件 有的话执行, ...
我想知道那个 tcpp 的程序在执行了什么 如果执行了 怎么找到它 tcpp和wc你搜索下系统内,或全盘,找到删除不就可以吗? 推荐,直接找阿里云的客服,他们会有专业的人帮你解决,免费的
别问我怎么知道的,交给专业的人就行了 qq1738017123 发表于 2020-6-25 22:17
我想知道那个 tcpp 的程序在执行了什么 如果执行了 怎么找到它
大概看了下,tcpp是一个xmrig类的挖矿程序 楼主是咋中招的........
页:
[1]