ire1

客户电脑感染挖矿木马，请你查找到相应的进程，找到矿池地址、钱包地址，并找到恶意程序以及后门信息，从中发现key信息。

查看进程

/usr/local/bin/entrypoint.sh   文件不存在

存在挖矿木马

/usr/sbin/httpd
-a cryptonight -o stratu
m+tcp://92.222.72.198:14444 -u key1{5IBgaXqR}fQ8Zqu6t2jANue3BDejmeJ37RR24C4Q847jqU89mk8bNrmb7jy4vHhYwosr5xUzfeKLqbE4kTgyScztctQ -p x

key1{5IBgaXqR}

到进程中查看

run文件是运行挖矿的启动文件

key2{IckR5eaB}

利用vim可执行python脚本预留后门

kill掉这些进程就行

运行了apache服务，查找网站位置

网站目录是空的。。。

动态链接库劫持

弹出something bad happen:的提示，可能的问题是动态链接库劫持

查看动态链接库more /etc/ld.so.preloa

key4{tKsGKIS5}

计划任务

系统级和用户及都无

ssh公钥登陆

key7{sk3B2yQz}

key1{5IBgaXqR}
key2{IckR5eaB}
key4{tKsGKIS5}
key7{sk3B2yQz}
-.-