日常黑客挖矿脚本自查思路。

1.top 看一下有没有程序飙高的进程
能看到？
（1）
确认是否是自己用的？
是? pass
否？干掉

看不到飙高进程（进程被隐藏）
（2）
安装一下perf top -s comm,pid (comm是进程名，pid是进程号) 查看详细2进制进程（也叫隐藏进程）
查看飙高进程，是自己用的嘛？
干掉

2.查看计划任务
crontab -l

如果没有查看更多计划任务列表

/etc/cron /var/spool/cron/root …

3.等待几分钟查看病毒是否再次启动

以下是遇到的几个挖矿，写出的对应脚本。

#!/bin/bash
ps aux|grep “I2NvZGluZzogdXRmLTg”|grep -v grep|awk ‘{print $2}’|xargs kill -9

echo “” > /etc/cron.d/root
echo “” > /etc/cron.d/system
echo “” > /var/spool/cron/root
echo “” > /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacron
rm -rf /etc/cron.daily/oanacron
rm -rf /etc/cron.monthly/oanacron

rm -rf /bin/httpdns
sed -i ‘$d’ /etc/crontab

sed -i ‘$d’ /etc/ld.so.preload
rm -rf /usr/local/lib/libntp.so

ps aux|grep kworkerds|grep -v color|awk ‘{print $2}’|xargs kill -9
rm -rf /tmp/.tmph
rm -rf /bin/kworkerds
rm -rf /tmp/kworkerds
rm -rf /usr/sbin/kworkerds
rm -rf /etc/init.d/kworker
chkconfig --del kworker

该脚本对应的是单进程标高，自动删除脚本。
#!/bin/bash
pid=-1
while true; do
users=‘w|wc -1’
if[ $users -lt 3]; then
sleep 10
pid='ps -ef|grep sshd-|grep -v grep|awk '{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}̲'' if [ -z "pid"]; then
./sshd- >/dev/null 2>/dev/null
else
kill $pid
fi
else
pid='ps -ef | grep sshd-|grep -v grep|awk '{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}̲'' if [ -z "pid"]; then
sleep 10
else
kill $pid
sleep 100
fi
fi
done

1.进程行为
通过top命令查看CPU占用率情况，并按C键通过占用率排序，查找CPU占用率高的进程。
网络连接状态
通过netstat -anp命令可以查看主机网络连接状态和对应进程，查看是否存在异常的网络连接。

2.自启动或任务计划脚本

3.查看自启动或定时任务列表，例如通过crontab查看当前的定时任务。

4.查看主机的例如/etc/hosts，iptables配置等是否异常。

5.日志文件
通过查看/var/log下的主机或应用日志，例如这里查看/var/log/cron*下的相关日志。

6.安全防护日志

查看内部网络和主机的安全防护设备告警和日志信息，查找异常。

通常在企业安全人员发现恶意挖矿攻击时，初始的攻击入口和脚本程序可能已经被删除，给事后追溯和还原攻击过程带来困难，所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。