导读 大家好,小宜来为大家讲解下。腾讯一键root工具(腾讯root官方下载)这个很多人还不知道,现在让我们一起来看看吧!下午的redis弱口令导致被...

大家好,小宜来为大家讲解下。腾讯一键root工具(腾讯root官方下载)这个很多人还不知道,现在让我们一起来看看吧!

下午的redis弱口令导致被注入木马的问题基本上都恢复了,并没有重置系统,拿到了木马初始化的脚本,分析进行了恢复,基本上就做了几件事:

1、curl和wget改名字

2、关闭阿里云或腾讯云的防护

3、杀掉其他挖坑进程

4、杀掉占CPU40%的进程

5、下载挖坑主进程,配置钱包地址

6、查看/root/.ssh/known_hosts的地址,直接进行传播

6、开放端口,并下载了masscan和pnscan

7、开放redis端口,利用masscan和pnscan扫描下图里的网段

以上操作日志保存在了/tmp里不同的目录,无密码和弱口令会被直接登录,下图有木马源文件里写死的几个弱口令。木马还替换了ps、top、ptree命令,隐藏了自己的进程。

解决方案:

1、删除/root/.ssh里的秘钥

2、顺着脚本反向操作,重点删除挖矿程序

3、排查/root/.ssh/known_hosts,是否有其他机器中枪

4、安全组出方向拉黑所有可疑ip

本文腾讯一键root工具(腾讯root官方下载)到此分享完毕,希望对大家有所帮助。