Alleysira's blog
0%

virus

Posted on Edited on

ntpdate

特征

  • 出现在计划任务中
  • 加锁无法直接删除
  • 无法使用chattr去锁

原因

在于chattr指令被替换,使用sangfor chattr指令即可

命令

1
2
3
/sangfor/edr/agent/bin/chattr -ai ntpdate
chattr -ai name
rm -rf ntpdate

boot-crypt

image-20220108164241573

image-20220108164326321