imWBR1

第一步

查看crontab

一般是通过curl定期从固定网站下载脚本实现的

如图:


imWBR1_第1张图片

先注释掉这两个进程

第二步

防火墙关闭到218.248.40.228的所有方向连接

第三步

分析在样本机中的i.sh脚本,可以知道这个挖矿应用所使用的守护进程

删除守护进程

守护进程名字为ddg.2021

脚本起的进程名字为imWBR1

找出来后,直接kill掉

再去TMP目录下 rm -rf掉ddg.2021和imWBR1目录

你可能感兴趣的:(imWBR1)