门罗币挖矿病毒

查看所有外部连接

正在连接的，已经关闭连接的

netstat -anp|grep ESTABLISHED
netstat -anp|grep CLOSING

如果发现有连接异常IP找到相关进程

查询进程

通过netstat找到pid，再通过pid找到相关程序

[root@k8s-node002 ~]# ps -ef | grep guest
root      10990   9957  0 15:53 pts/2    00:00:00 grep --color=auto guest
guest    166552      1  0 May13 ?        00:00:00 /bin/bash ./lib.sh
guest    166559 166552  0 May13 ?        00:09:05 /tmp/lib/stak/bash --library-path /tmp/lib/stak /tmp/lib/stak/xmr-stak


[root@devops lib]# kill -9 166552      166559 

guest用户

查找所有进程是guest用户启动
查询到登录日志

[root@devops lib]# lastlog | grep guest
guest            pts/0    217.28.19.12     Sun May 13 05:34:49 +0800 201

删除定时任务以及用户目录
黑客定时删除相关程序

[root@devops lib]# find / -name guest
/home/guest
/etc/selinux/targeted/active/modules/100/guest
/var/lib/AccountsService/users/guest
/var/spool/mail/guest
/var/spool/cron/guest

观察一下会不会复发