某天下午,接到一客户内网服务器中了挖矿病毒的消息,需要进行应急响应处置。当时由于以前只看过相关处理流程和步骤,还没动手试验过,顿时感觉展现技术的时候到了。
二、处置流程
1.远程服务器,通过top命令查看实时进程,发现kswapd0进程占用CPU明显异常。进程ID为313075。
2.根据该进程的PID来定位该进程的文件路径。
- ls -la /proc/[PID]/exe
复制代码
3.在/root/目录下,通过ls -la查找隐藏的病毒文件夹。
4.进入/root/.configrc/病毒目录,查看发现存在大量病毒文件,以及kawapd0程序。
5.查看kswapd0的文件修改时间。
6.根据kswapd0进程的PID查找相关的网络连接,发现有个一直与一个外网的45.9.148.58:80地址连接。
- netstat -natupl | grep [PID]
复制代码
7.通过微步搜索该IP地址,发现是个荷兰的IP,并且已经被用户标位矿池IP。
8.查看Linux服务器的定时任务,发现有大量与病毒文件相关的定时任务,需要全部删除。
- /var/spool/cron/root //定时任务文件
- crontab -l //查看定时任务
- crontab -e //编辑定时任务
复制代码
9.通过定时任务,定位/dev/shm/.X19273/.rsync目录的病毒运行文件。需要全部删除。
10.直接kill掉病毒文件运行进程。可以看到kill掉后,CPU就恢复正常了。
11.分析病毒样本,发现会在/root/.ssh/目录下生成一个病毒公钥文件,黑客可以通过该公钥远程到此计算机来。
12.需要进入/root/.ssh/目录下删除病毒公钥文件
总结一下大致的处置流程:
1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e
2.删除/root/ 目录下的.configrc病毒文件夹
3.删除/root/ 目录下的.ssh病毒公钥文件夹
4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。
其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。
