阿里云查杀恶意木马2t3ik.p

一次杀病毒经历 阿里云控制台查看恶意木马2t3ik.p

image.png image.png

top 查看2t3ik.p进程cpu占用很高 杀掉进程后依然启动 这种情况一般是应用有定时任务或有守护进程

image.png

#大致步骤

#先关闭redis 貌似很多木马都通过redis植入病毒(特别是弱密码的情况 目测我的是因为这个，可能因为redis的安全漏洞导致服务器被肉鸡，用做挖矿) 
service redis stop

#如果/root/.ssh/下有异常文件或记录：
rm -rf  xxx(异常文件)

#查找2t3ik.p进程目录：find / -name 2t3ik.p  删除2t3ik.p进程文件：
rm -rf  /tmp/2t3ik.p

#查找2t3ik.p守护进程目录并删除：
ps -aux|grep 2t3ik.p 
rm -rf xxx

#删除可疑文件 cd /tmp
rm -rf 可疑文件

image.png image.png

一段时间过后 世界清静了许多。。

image.png