检测过程:

1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载”procps-3.2.8″并编译,恢复top等系列命令
5.检测进程是否异常
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处
7.排查ssh登录日志
8.把ssh登录切换成秘钥登录
9.重启服务器,检查是否进程是否正常

三、排查处理过程
使用htop查看进程是否异常:
发现 /usr/bin/pamdicks 此文件运行CPU达到100%。

查看定时任务是否存在文件:
crontab -l

清空定时任务并且分析木马脚本:
crontab -r

分析木马脚本:

第6行-第7行 给予权限并运行 pamdicks。
第12行-第20行 判断是Ubuntu系统还是Centos系统,并且安装软件
第22行-第28行 查看进程并终止进程
第29行-第34行 强制关闭进程
第35行-第48行 给木马文件加锁,禁止移动木马文件
第50行-第66行 远程下载木马文件

添加hosts防止二次下载:
echo -e “\n0.0.0.0 a.powreofwish.com” >> /etc/hosts

检查进程是否正常:
查看异常进程的进程号关闭进程:
kill -9 548

删除挖矿木马脚本应用:
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
pkill pamdicks
rm -rf /usr/bin/pamdicks
rm -rf /var/lib/cc
rm -rf /tmp/kdevtmpfsi

重启服务器,并且检测进程是否异常

最后服务器恢复正常。

挖矿病毒源码是加过壳的,正在解析中

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。