腾讯一键root工具（腾讯root官方下载）

下午的redis弱口令导致被注入木马的问题基本上都恢复了，并没有重置系统，拿到了木马初始化的脚本，分析进行了恢复，基本上就做了几件事：1、curl和wget改名字2、关闭阿里云或腾讯云的防护3、杀掉其他挖坑进程4、杀掉占CPU40%的进程5、下载挖坑主进程，配置钱包地址6、查看/root/.ssh/known_hosts的地址，直接进行传播6、开放端口，并下载了masscan和pnscan7、开放redis端口，利用masscan和pnscan扫描下图里的网段以上操作日志保存在了/tmp里不同的目录，无密码和弱口令会被直接登录，下图有木马源文件里写死的几个弱口令。木马还替换了ps、top、ptree命令，隐藏了自己的进程。解决方案：1、删除/root/.ssh里的秘钥2、顺着脚本反向操作，重点删除挖矿程序3、排查/root/.ssh/known_hosts，是否有其他机器中枪4、安全组出方向拉黑所有可疑ip