登录linux系统,在控制台中运行top指令
看到cpu占用较高的进程,其中第一项名为“ld-linux-x86-64”的一个进程占用cpu资源竟然高达700%,经上网验证,基本确认是挖矿木马。
记录好该进程的id,6233,开始排雷之路。
首先,执行pwdx 6233命令,得到该进程的执行目录,返回结果显示目录地址是"/usr/local/games/.cache",PS:因为是事后记录,所以没有当时截图。。。
再执行find / -name "ld-linux*",返回列表中存在目录"/usr/local/games/.cache",再次验证木马位置,就是该地址。
注:/usr/lib64/ld-linux-x86-64.so.2是系统文件,删除后会造成系统异常,切记不可删除,木马的狡猾就是会把自己伪装成系统正常文件或进程,所以要区分好哪些是“细胞”,哪些是“病毒”。
进入木马所在目录,目录下有多个文件,主要有cron.d(任务计划)、run(启动文件)、stak3/stakcentosold/stakubuntunew(木马病毒)等。
查看run启动文件,会看到,启动程序,然后和木马主机通信等,确信木马无误。
在服务器上到/etc/crontab目录看系统任务计划中是否有异常任务,排查是否有任务残留(任务计划中通常是用于制定定时启动命令)
最后一项排查,潜在进程,执行ps -x | grep cache和ps -x | grep games,因为种木马可能会分为下载木马文件和解压木马文件等步骤,所以查进程时,建议查两次,一次是木马所在目录的上一级,以及木马所在目录,经本次实践,确实两类潜在进程均存在。一个是下载木马到games目录下,另一个是解压.cache目录并删除下载包。
排查结束后,就要删删删了!!!
要删除的东西:木马所在目录(/usr/local/games/.cache),木马进程(6623),潜在进程(可能会有多个,需要不断执行ps -x命令,确保彻底删除)
删除目录命令:rm -rf /usr/local/games/.cache
删除进程命令:kill -9 6623
注:删除潜在进程后,建议再次确认木马目录已被彻底删除,因为先删除木马的话,潜在进程会在你删除所有潜在进程之前,重新下载并解压种木马,所以不怕麻烦,最好多次确认所有东西都已被清除,没有残留!!!
版权归原作者 Nikkis 所有, 如有侵权,请联系我们删除。