现象:自己搭建的一台DNS server,狂刷日志:
关键字: client donate.v2.xmrig.com query cache denied
根据日志可知,是客户端20.20.20.203,一直在向该节点解析域名。
ssh到203节点后,cat /etc/resolv.conf,通过其配置也能证明这一点。
在203节点,使用ps aux或者ps -efH,没有发现任何异常进程,最后通过top命令:
确认病毒PID。再通过ps查看,发现其做了个小隐藏:
这样通过ps看到的进程名就是bash。
知道PID后,就可以定位病毒位置了。一般这种病毒,都会有定时任务,可以再查一下定时任务。