大家好,蓉蓉来为大家讲解下。腾讯一键root工具(腾讯root官方下载)这个很多人还不知道,现在让我们一起来看看吧!
下午的redis弱口令导致被注入木马的问题基本上都恢复了,并没有重置系统,拿到了木马初始化的脚本,分析进行了恢复,基本上就做了几件事:
1、curl和wget改名字
2、关闭阿里云或腾讯云的防护
3、杀掉其他挖坑进程
4、杀掉占CPU40%的进程
5、下载挖坑主进程,配置钱包地址
6、查看/root/.ssh/known_hosts的地址,直接进行传播
6、开放端口,并下载了masscan和pnscan
7、开放redis端口,利用masscan和pnscan扫描下图里的网段
以上操作日志保存在了/tmp里不同的目录,无密码和弱口令会被直接登录,下图有木马源文件里写死的几个弱口令。木马还替换了ps、top、ptree命令,隐藏了自己的进程。
解决方案:
1、删除/root/.ssh里的秘钥
2、顺着脚本反向操作,重点删除挖矿程序
3、排查/root/.ssh/known_hosts,是否有其他机器中枪
4、安全组出方向拉黑所有可疑ip
本文腾讯一键root工具(腾讯root官方下载)到此分享完毕,希望对大家有所帮助。