linux被挖矿 怎么排查

#所以这里我先通过如下命令将该服务停掉journalctl-umdcheck-4838751a#终止之前可以用该命令查看服务运行状态systemctlstopmdcheck-4838751a#终止该挖矿服务systemctldisablemdcheck-4838751a#终止该挖矿服务的开机自启

etc/ld.so.preload#这个文件默认是空的和不存在的,如果有内容并且确认不是管理员的操作话,那么这个so文件就有问题

挖矿有时候为了隐藏自己,会对系统的预加载配置进行修改,让执行的命令加载恶意的so文件,这里需要对这些文件进行清理(注:不确定的时候不要随便清除,如果是劫持的系统自身的so文件,最后找个干净系统的so文件替换)

正常情况下,服务器所起的系统服务是不会变动的,可以排查中挖矿*前后系统服务的变动情况,排查确认异常后可将服务停止,并将文件打包移走

中挖矿*的一个重要特征就是cpu占用率会非常高,当然一些挖矿*为了更好的隐藏自己当老6,会控制cpu的占用率,比如维持在50%以下,同时很多时候我们如果不用busybox的话,top命令等都是看不到有高占用cpu的进程的。

怎么彻底清除挖矿*

挖矿*有时候为了防止访问不到矿池或者*,往往会修改dns记录,故可以先查看“/etc/resolv.conf”文件内容情况

在被植入挖矿*后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行

一直有说到,挖矿为了隐藏自己,有时候会修改系统命令,让我们排查的时候看不到它,这里通过时间排查挖矿后被变动过的系统命令(一般这个命令文件是不会有变动,故变动过的都是可疑的)

清理到这里,*以及残留文件已经清理干净了,后续的就是重新开启定时任务,重新安装系统命令,恢复dns配置文件,排查入侵原因

正常情况下,系统的可执行文件基本是不会变动,基本不会有新增,那中挖矿时间前后变动的可执行文件都是可疑,需要进一步排查清理。

ubuntu 挖矿木马

这里可以使用htop,busybox的top命令查看是否高占用cpu的进程,同时通过进程号可查看“/proc/pid号/cmdline”判断是否是异常进程,确认后使用kill命令终止挖矿进程即可

查看所有进程的信息,排查”/proc/pid号/exe”“/proc/pid号/cmdline”,检查进程的启动命令,已经引用的exe软连接的真实路径。其中如果/proc/pid号/exe”中调用了/bin/bash,(deleted),/tmp/都是可疑,有必要排查是否是异常项

最开始的时候我们只是停止了计划任务服务,但是并没有对计划任务文件进行清理,这里对计划任务进行清理,一个简便的方法就是查看中挖矿前后发生变动的计划任务文件,这些都是可疑的。

标签： #挖矿 #排查 #彻底清除