資安-挖礦病毒清除紀錄

kdevtmpfsi 的清除過程紀錄

某次去幫忙重啟服務,聽聞該主機Loading很重,雖然老舊常出問題,但這次我發現了有異常的程序

問了該主管,確認沒有使用該程序,查了一下是有名的挖礦病毒,而當時沒其他急事要處理,機會難得就來好好研究一下,這病毒刪了也會自己重生,查了下原來還掛著定時排程

定期嘗試去下載該腳本,然而那個實際去連是無效的,表示並非常態性掛著,而且該IP位於地中海,也可能只是被利用作為跳板之一,畢盡這些都只是駭客的慣用的老掉牙手法,而且有的並非當下發作,

進行清理排除與資安相關修正後,重啟後程序已經不見

只是我還是習慣性弄個掃毒查一下還有沒有殘存的,果然偵測到還有殘留

實際上可疑的不只一個檔案

之後把這些清除後再觀察一段時間,就解決問題了,我後續有給一些資安上建議,不過對方說那只是測試機,然後又很有多奇怪的見解聽不進建言...無言,不過這次只是來臨時救援,何況對方都不在意了,那便作罷,雖然這次幫別人擦了屁股,但自己學到的經驗可活用於之後,倒也不錯

Last updated