记一次挂马清除经历:处理一个利用thinkphp5远程代码执行漏洞挖矿的木马
2018-12-19
阅读 1 分钟
5.2k昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用 执行命令为 : /tmp/php -s /tmp/p2.conf 基本可以确定是被挂马了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木马想干什么吧 netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接 但是tcpdump了...