门罗币挖矿病毒

查看所有外部连接

正在连接的,已经关闭连接的

netstat -anp|grep ESTABLISHED
netstat -anp|grep CLOSING

如果发现有连接异常IP找到相关进程

查询进程

通过netstat找到pid,再通过pid找到相关程序

[root@k8s-node002 ~]# ps -ef | grep guest
root      10990   9957  0 15:53 pts/2    00:00:00 grep --color=auto guest
guest    166552      1  0 May13 ?        00:00:00 /bin/bash ./lib.sh
guest    166559 166552  0 May13 ?        00:09:05 /tmp/lib/stak/bash --library-path /tmp/lib/stak /tmp/lib/stak/xmr-stak


[root@devops lib]# kill -9 166552      166559

guest用户

查找所有进程是guest用户启动
查询到登录日志

[root@devops lib]# lastlog | grep guest
guest            pts/0    217.28.19.12     Sun May 13 05:34:49 +0800 201

删除定时任务以及用户目录
黑客定时删除相关程序

[root@devops lib]# find / -name guest
/home/guest
/etc/selinux/targeted/active/modules/100/guest
/var/lib/AccountsService/users/guest
/var/spool/mail/guest
/var/spool/cron/guest

观察一下会不会复发

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 网络操作系统复习资料
    1、第八章 Samba服务器2、第八章 NFS服务器3、第十章 Linux下DNS服务器配站点,域名解析概念命令:...
    哈熝少主阅读 3,779评论 0 10
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,010评论 19 139
  • linux资料总章
    linux资料总章2.1 1.0写的不好抱歉 但是2.0已经改了很多 但是错误还是无法避免 以后资料会慢慢更新 大...
    数据革命阅读 12,240评论 2 33
  • Ubuntu完全教程,让你成为Ubuntu高手!
    Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意...
    萤火虫de梦阅读 99,611评论 9 467
  • iOS 第三方库Mantle学习
    吐槽 不吐不快这玩意儿相比起MJExtension来说难用至极.首先要添加JSON中的key与property名称...
    黑羽肃霜阅读 1,587评论 0 2