[记录]-木马 Rondo

早上给新来的同事看部署的事 想看端口占用输入 lsof top 秒 Killed 很诡异 后来觉得可能是中木马了 打开 crontab 看 就知道是开了后门了…

没办法我不是红队的 只能一路 Gemini…

发现这也是个安全漏洞了 CVE-2021-35394 从一篇逆向分析的博客也能找到 https://bbs.kanxue.com/thread-288574.htm

chattr 直接被改名 找不到命令 一路修修补补可算是把 CPU 拉回了日常水平

但是事后想想 那个老哥貌似提过一嘴 把服务器的登录信息给了自己别的公司的同事???