一台外网服务器不幸被入侵,留下三个文件
[root@XXX ~]# md5sum pty
3bd292eea1201ffa19a428807376c6b2 pty
[root@XXX ~]# md5sum udevd
9012234fa320b3fd8f3c430929fdd699 udevd
[root@XXX ~]# md5sum vyattad
341869dfb1c51fbb2a59e77163cf83fd vyattad
和一个 crontab 任务
[root@XXX ~]# crontab -l
google 一凡,知道这是个 SSH 相关病毒,但限于安全知识有限,有大佬遇到过这种问题或者有相关反汇编知识分析下咯。。
病毒文件可以从 http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-72-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/ 获得。
1
idcspy 2018-02-05 15:22:14 +08:00
ssh 爆破。
|
2
CEBBCAT 2018-02-05 15:42:02 +08:00
|
3
jackyzy823 2018-02-05 15:51:23 +08:00
我觉得还是先研究一下外网服务器上的哪个服务有漏洞,有没有重要信息被那啥之类的比较好(
|