Linux中处置挖矿病毒样本演示

一、病毒特征

1、top  查看cup使用率

CUP使用率极高，也可以看到它的PID

2、查看网络连接数

netstat -anpt | grep tcp

 连接数较高。

二、处置

1、kill pid 

        尝试删除可疑进程。

 

可以删除，但是他还是会自动启动

2、计划任务或者其他能够自启动的位置

crontab -l   #查看计划任务列表。

crontab -e    #进入后删除计划任务

kill                  #杀死进程

3、计划任务清除之后，他还是会自动写入。

4、检查进程

删除

查到这个可疑的进程。

ls -l /proc/72678/exe

找出它文件所在目录

 进去之后使用  ll -all   查看，这是可疑程序的：

 这个是正常程序的：

 这几个进程异常进程的都是一样。

``````好像也没办法处理

特点：

1、删除计划任务，1分钟后计划任务会被重写

2、所有进程结束之后都会被计划任务启动，也就是说它执行的来源都是计划任务的文件

3、删除计划任务下所对应的文件。

方法一：

删除计划任务下的文件

让木马无法在自启动，并结束这两个进程

系统回复正常。 

这是系统会收到一个邮件，汇报的是计划任务执行失败的提示，是因为我们将文件删除，计划任务无法执行。接下来就清空计划任务。

方法二：

通过PID查看对应的服务项

 

systemctl status 1525            #目标

 

systemctl status 1546          #目标文件

 

 

尝试删除目标文件和计划任务，因为它的周期是1分钟，所以在删除时候速度要快

[root@localhost ~]#

kill 1656 1732 && rm -rf /usr/sbin/CROND /etc/bash_completion.d/hri0j2 && crontab -r

#删除进程              #删除木马文件                                                         #删除计划任务

top检测进程正常！