发现
本以为是opkg用的文件,但等我进入下一级目录,又出现了这几个文件
打开,火绒直接报毒
不过万幸的是,数据盘没有被影响
查看修改日期,发现是在2020年12月24日感染的
好家伙,趁我在学校时投毒
不过我在当天14:05分左右在学校连接了路由器的FTP,且用户名和口令为admin,所以...锅?
简单分析
发现了,接着就是保存样本不是删除 ?.
样本仅供研究,请勿将其用于非法用途!
由于网安要求,样本请到微步云下载!
丢去微步云沙盒,检出为恶意文件
并且有大量的TCP和UDP连接,看起来是Exploit?
微步云链接
解决
最后的最后,就是删除了
find . -name "*.lnk" -type f -print -exec rm -rf {} \;
find . -name "*.scr" -type f -print -exec rm -rf {} \;