排查过程

操作步骤

1. 查看主机是否存在异常进程。

   查询命令：top

   根据CPU占用率、进程名称等判断是否存在异常进程，如下可疑进程CPU占用率超过100%。

   

2. 根据异常进程PID值，查看文件位置。

   查询命令：lsof -p+进程PID值（如25267）

   

3. 发现目录下的异常文件（带有xmr或mine的标识）。
   1. 查看文件命令：ll -art

      

   2. 查询木马路径：pwd

      查询文件中是否存在异常地址：strings +文件名（如config.json）+ |grep xmr

      

      

      建议重点排查以下目录：/etc为配置文件、/tmp为临时文件、/bin为可执行文件。

      • 用户命令；用到的库文件可能在/lib，配置文件可能在/etc，/sbin为可执行文件。
      • 管理命令；用到的库文件可能在/lib，配置文件可能在/etc，/usr/为只读文件，shared read-only，/usr/local为第三方软件）
      • Linux命令大全请参见Linux命令大全。
   3. 发现疑似矿池信息，将URL（xmr.flooder.org:80）放到微步上检测，结果为矿池。

      

4. 查看主机用户权限。

   查询命令：cat /etc/passwd|grep +用户名（如bash）

   

   

   nologin的用户没有登录权限，此处需重点查看存在登录权限的用户。

5. 根据主机登录日志文件，查看异常登录记录。

   查询命令：cat +文件名（如 secure）|grep Acc|grep +用户名（如oracle）

   根据成功日志寻找登录主机的习惯时间，需关注与木马植入相近的时间。

   

   根据登录的时间关注是否有异常IP登录及登录的频次（包括成功或失败的次数），若异常IP登录次数多则疑似为爆破行为。

   

6. 如果上述方法均不能解决您的疑问，请“提交工单”寻求更多帮助。