阿里云查杀恶意木马2t3ik.p

一次杀病毒经历 阿里云控制台查看恶意木马2t3ik.p

image.png

image.png

top 查看2t3ik.p进程cpu占用很高 杀掉进程后依然启动 这种情况一般是应用有定时任务或有守护进程

image.png

#大致步骤#先关闭redis 貌似很多木马都通过redis植入病毒(特别是弱密码的情况 目测我的是因为这个，可能因为redis的安全漏洞导致服务器被肉鸡，用做挖矿)
service redis stop#如果/root/.ssh/下有异常文件或记录：
rm -rf xxx(异常文件)#查找2t3ik.p进程目录：find / -name 2t3ik.p 删除2t3ik.p进程文件：
rm -rf /tmp/2t3ik.p#查找2t3ik.p守护进程目录并删除：
ps -aux|grep 2t3ik.p
rm -rf xxx#删除可疑文件 cd /tmp
rm -rf 可疑文件


image.png

image.png

一段时间过后 世界清静了许多。。

image.png