记一次仿真挖矿的"彻底"清除

发现

首先find / -mmin 2 查看一下两分钟的运行进程

image-20230922200547730

我们发现back kthreads都有问题

我们依次来看

查看back文件如下 发现循环写入的文件 我们要找维持文件 我们接着找维持文件

image-20230922200909241

查看kthreads文件 成功发现维持文件

image-20230922201014444

打开crontab 发现了计划文件

image-20230922201256778

我们再运行netstat -antp 找一下外连

image-20230922201359853

这里我们成功发现外连ip 和程序

实操

我们先消灭远连程序

远连程序在/tmp/vmware-root_663-402224331x8/

就是bard程序

执行

1
rm /tmp/vmware-root_663-402224331 x8/*

image-20230922201902382

消灭维持程序

1
rm /bin/kthreads

image-20230922201957095

消灭计划文件

1
vim /etc/crontab

image-20230922202221799

删除前

进去删除后两行,删除后

image-20230922205955620

消除病毒文件

image-20230922202417676

这里我们需要先kill掉父进程 6585

0baee4f8b68788caaa8119c7c39c8f1

如图所以 后面6585变为了 1 说明已经杀掉了 父进程

杀完父进程 我们再kill子进程 12891 和 12938

最后一步

进去/usr/bin删除watchdogdd文件

image-20230922204647158

kill远连程序

image-20230922212254058

结果如下:

image-20230922212337536

删除helloworld

最后 我们删除helloworld即可 所有删除结束


记一次仿真挖矿的"彻底"清除
https://kee02p.github.io/2023/09/22/格挖矿/
作者
Kee02p
发布于
2023年9月22日
许可协议