求救！！在服务器上发现的病毒文件

qq1738017123 · 发表于 2020-6-25 21:13

今天阿里云发短信提示有恶意程序执行晚上上服务器一看有两个文件，麻烦大佬们帮忙分析下病毒文件都做了什么事如何清除（不知道是否已经执行，可能隐藏了进程 top 命令查不到）。
如果可以分析道如何上传到服务器的更好

文件解压密码：52pojie
https://wws.lanzouj.com/iPSdae16xnc

cutthesoul · 发表于 2020-6-25 21:52

run.sh脚本大致的意思是先结束三个关于阿里云盾的进程，然后判断有没有关于tcpp或者wc文件有的话执行，没有的话就下载文件并且写入计划任务，计划任务名字叫做 whoami，最后进行自删除。不知道我说的对不对后面有大神的话可以继续补充，看脚本的意思应该是被植入了挖矿程序

qq1738017123 · 发表于 2020-6-25 22:17

cutthesoul 发表于 2020-6-25 21:52
run.sh脚本大致的意思是先结束三个关于阿里云盾的进程，然后判断有没有关于tcpp或者wc文件有的话执行， ...

我想知道那个 tcpp 的程序在执行了什么如果执行了怎么找到它

oxxo119 · 发表于 2020-6-25 23:26

tcpp和 wc你搜索下系统内，或全盘，找到删除不就可以吗？

shaun.sheng · 发表于 2020-7-1 16:50

推荐，直接找阿里云的客服，他们会有专业的人帮你解决，免费的
别问我怎么知道的，交给专业的人就行了

禁闭岛 · 发表于 2020-7-5 11:13

qq1738017123 发表于 2020-6-25 22:17
我想知道那个 tcpp 的程序在执行了什么如果执行了怎么找到它

大概看了下，tcpp是一个xmrig类的挖矿程序

allrobot · 发表于 2020-7-5 23:24

楼主是咋中招的........

帐号		自动登录	找回密码
密码			注册[Register]