挖矿木马+隐藏后门应急分析

文章预览

前言 记录一次挖矿病毒木马的学习，包含一下知识： SSH 暴力破解 挖矿木马 (含流量分析) Crontab 后门 Alias 后门 应急响应 背景 一天，客户反馈服务器莫名其妙突然卡顿、风扇狂转，但是查看 cpu 占用率却都不高，请你上机排查！ 查看 cpu 占用率 top -c 但是发现 cpu 占用率都不高 查看网络连接 netstat -anpt 发现可以连接，IP： 43.129.150.140 对该 ip 进行威胁情报关联分析，发现该 ip 被微步标记为矿池 但是看不到进程信息，怀疑使用了目录挂载 解除目录挂载 查看所有目录挂载 cat /proc/$$/mountinfo 发现可疑挂载，使用以下命令解除挂载 umount /proc/59919 再次查看 cpu 查看网络连接 查看进程信息 发现隐藏目录，包含恶意程序 计划任务 干掉恶意进程，并删除文件 查看 cpu 占用率正常 但是没过一会，服务器又开始卡顿、风扇狂转 猜测存在计划任务，但是  crontab -l   ………………………………