经验证,冰蝎2.0和冰蝎3.0在连马后,会在被攻击目标服务器上遗留以下Python进程:
python -c import pty; pty.spawn("/bin/sh")
经调试验证,发现该Python进程是由于攻击者连马后,在冰蝎客户端中启动“虚拟终端”(即交互式终端tty)后生成的Python进程,每启动一次虚拟终端都会在目标机服务器中生成一个Python进程。
python -c import pty; pty.spawn("/bin/sh")
而且,即使在删除冰蝎马之后该进程仍然存在,只有在重启目标服务器后该Python进程才会消失。