minerd木马处理流程

传送门：http://note.youdao.com/yws/public/redirect/share?id=dd042b18d979a5b3e9d765bba02c3d77&type=false
首先说一句，这木马太恶心了，卧槽
首先在服务器发现minerd 程序

ps -ef|grep minerd

然后发现crontab 定时任务

根据这个地址看看

攻击脚本，我就不分析了，大致是获取系统权限等等

首先删除生成的秘钥

然后暂停定时任务

暂停服务

删除/opt/minerd 文件

记住这里有个坑，此时已经暂停掉任务了但是那个进程还在，我特么就奇怪了，可能出现的原因是已经进入定时任务后，暂定这个服务但是任务还在

这时候需重新检查下服务器

然后可笑的是重启服务后特么又启动了，还是得检查脚本

好吧用于这货竟然在开机启动项里面加入了脚本开机又启动了，删除
发现后门账号，删除

ok 重要木有问题了

这个服务一定要删除 lady~~~