一次 minerd 肉鸡木马的排查思路
在日常使用 Linux 系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡。以后就是一次肉鸡木马病毒的排查过程,有助于运维服务器时遇到此情况时进行针对性的排查和修复。
【问题现象】
Linux 主机 CPU 跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。
【问题原因】
这种状况在出现时通过 top 命令可以看到有一个 minerd 进程占用 CPU 较高。
经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的 PID 为 1170,根据进程 ID 查询一下产生进程的程序路径
执行 ll /proc/$PID/exe, 其中 $PID 为查询到的进程 ID
异常程序在 /opt 目录下
此程序一般是由计划任务产生的,Linux 系统中默认创建了计划任务后会在 /var/spool/cron 目录下创建对应用户的计划任务脚本,执行 ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。
可以看到,在此目录下有 1 个 root 的计划任务脚本和一个异常的目录 crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录&#