根据题目描述 可以很清楚了解到 是revshell和一个不断执行的定时任务
按指示命令
tail -f /tmp/date.txt
根据一般情况下,放到微步沙盒,可以清楚看的revshell的ip:150.158.137.47
因为其一直执行的特性和不死马相似,所以尝试reboot,可以发现成功停止进程(非预期)
按程序执行目录逻辑进行目录清理即可
现在执行reboot
对比时间,我们发现这个停了,符合预期(如果你处理完挖矿病毒这个文件就会停止写入当前日期,此
时代表你已经处理完成挖矿病毒)
此时对病毒进行清理
删除文件
rm /bin/kthreads
因为这个时候进程肯定是停的(非预期yyds)
以上是非预期
以下为预期解
再次打开环境
重复步骤 关闭crontab
删除 watchdoggd
关闭进程 watchdog
发现 它停了!!!!!!
最后都是清除文件
rm /bin/kthreads
至此清理结束
还是挺简单的,对最近的知识进行复习,预期解超纲不是很多。