一个Linux挖矿的简单处理

由于平时很少接触linux的病毒现场，特意找到了一个之前处理过的现场进行复现，算是对linux命令的掌握以及对linux病毒的了解

执行挖矿病毒

使用top命令，站cpu占用率

可以看到PID为28842的进程占用已经为97.3%

然后使用netstat -antp看网络查看网络连接

经过搜索，这两个ip都为矿池ip，到这就可以判断这是一个挖矿病毒了

cd /proc/28842进入进程号目录

ls -al查看该文件所在的位置

知道挖矿文件所在目录了，使用kill -9 28842结束掉挖矿进程

打开tmp目录，讲文件取出，用ida分析

说来也巧，我在搜索ip的时候，看到了这样一份情报

疑似挖矿但未找到配置文件

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2314

发情报的人没有找到配置文件所在，其实配置文件就在提取出来的文件种，用ida打开，找到配置文件数据

这就算是一次简单的处理，具体文件就不深入分析了

IOCs:

SHA1:

f29e46fe42e74cbb1c13839e5462a4d6fe26b220

e4bf1914ce19aa21bc9af6d2966296b84185fd0c

矿池地址：

xmr-eu1.nanopool.org

178.170.189.5

91.215.169.111

钱包地址：
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb