第一步
查看crontab
一般是通过curl定期从固定网站下载脚本实现的
如图:
先注释掉这两个进程
第二步
防火墙关闭到218.248.40.228的所有方向连接
第三步
分析在样本机中的i.sh脚本,可以知道这个挖矿应用所使用的守护进程
删除守护进程
守护进程名字为ddg.2021
脚本起的进程名字为imWBR1
找出来后,直接kill掉
再去TMP目录下 rm -rf掉ddg.2021和imWBR1目录