内容简介：

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

在前一周的时间里，客户有遇到被Team***入侵挖矿的案例。但由于客户在没有给被入侵主机做快照的情况下，回滚了之前的快照，导致无法进一步入侵溯源排查。

因此在腾讯云公网上上搭建了redis未授权的漏洞环境并在控制台安全组放行端口。随后很短时间内便收到了云镜的告警通知。

0x01 确定最早入侵时间点
通常根据云镜的告警短信，基本可以确定最早入侵时间点。这对于...

查看原文

? 应急响应 | TeamTNT挖矿木马应急溯源分析