发现挖矿
有一天,我可爱的同事们为了让我写这个帖子更专业,在我的虚拟机里面植入了一个挖矿病毒。下面我尝试给大家处理一下这个情况,实在不行可以重装虚拟机。
事件处理
先检查一下cpu的占用情况
top -c -o %CPU
-c 参数显示进程的命令行参数
-p 参数指定进程的pid
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
cpu占用前五的进程信息
我实践了一下,一般的话,在终端输入top就行,就像这样
然后发现这个占用cpu过高的进程是pid为4452的kdevtmpfsi,毫无疑问这个进程就是挖矿的。如果我们严谨一点,根据上面的进程名查看与内网的 tcp链接,查出来ip,去看看是不是国外的或者是恶意的。
netstat -anpt | grep pid
这里的pid就是异常进程的pid
既然已经发现了这个异常的挖矿进程,那就用命令把这个进程处理掉。
有些进程会引起子进程,可以用如下命令查看
ps ajfx
systemctl status
没有子进程的话,就用这个,一般这个就够了
kill -9 pid
如果进程引起了子进程
kill -9 -pid 这个就会删除整个进程组
一般情况,这样就结束了。但是过了一会,发现cpu又占用高了,检查发现进程又启动了,变成了pid6534,
猜测有定时任务,我们用 crontab -l查询一下,发现每隔一段时间就会自动的从195.3.146.118下载unk.sh文件 并执行。
那么删除异常进程,删除定时任务
kill -9 6354
crontab -r
一般的话,这个挖矿病毒就这样被我们杀完了,但是,在个别情况下,挖矿病毒会为了保障挖矿的正常进行,还会有守护进程。
systemctl status pid
这里的pid是 6651
kill -9 4423
kill -9 6651
cd /tmp
rm -rf kinsing
rm -rf kdevtmpfsi
删光光
到这的话基本上就结束了
后续
再后来我们又找了一些挖矿病毒,但是基本上都是比较普通的挖矿病毒,只有一个简单的定时任务。
这是一个病毒
运行它 ./0e34dd02735cabd0835e1a6a03c0e81d
我们crontab -l查看一下发现他有定时任务,这就显得我们很专业,直接crontab-r删除定时任务,接着删除这个进程。
恢复正常
善后阶段
根据恶意域名确定木马类型,我们一般通过一些现成的查询网站,比如: