【实战】记一次linux应急响应

文章预览

扫码领资料 获网安教程 文章来源:  https://forum.butian.net/share/3015 挖矿事件 说明:百度的应急文章很多，在此不在介绍如何按照手册进行排查，只针对实战进行分析和排查。 事件背景： 我司主机存储组报告发现服务器CPU占用异常，超负荷运行，我司安全人员开始介入调查。 调查过程： 1.上机排查CPU占用情况发现，PID为6184,占用CPU内存为398%，超负荷运行，初步可以确定是挖矿病毒导致 命令：查看CPUC异常占用 top -c -o %CPU 查看管理设备2023年x月x号就出现服务器超负荷运行，至今已经8个多月。 查看PID对应的进程 命令： 查看进程 ps -aux 2. 进入对应的PID查看具体路径信息 命令： 查看具体的PID信息： ps -aux | grep PID 拷贝文件，本地分析 MD5：4499165a5b0f7ac6ddf9dcbbe1f5a4f1 这里说明一下，不是非要用腾讯，类似还有很多，比如：微步，腾讯等等吧。 在微步进行进一 ………………………………