应急响应-挖矿木马的清除思路

0x01 挖矿木马特征

攻击者利用受害机器资源进行高强度的计算运行工作，导致受害机cpu gpu持续拉满，服务缓慢甚至宕机等。及可能存在挖矿问题，linux，windows均可存在相关问题，

0x02 挖矿常见入侵手段

挖矿的前提是攻击者获取到了受害机的权限，常见通过弱口令，windows下的rdp3389服务爆破，Linux下的ssh，redis未授权等入侵

0x03 windows，linux被入侵常见查询命令定位木马

1.了解服务架构，主机受害情况，暂时压制挖矿行为
2.信息收集cpu占用情况

windows：查看任务管理器，进程端口占用情况netstat-ano，tasklist 外部，外部连接情况netstat -anpt  
linux：ps -aux   top等

定时计划任务：windows借助火绒剑工具可以查看，

启动项：msconfig查看启动项目
linux：开启自启动项目systemctl list-unit-files

linux计划任务：crontab -l

文件内查看计划任务：/var/spool/cron/
查看可以的用户，隐藏用户等

windwos进去计算机管理查看 linux：/etc/passwd下查看是否有异常的用户 /bin/csh、/bin/bash结尾均可登录

find木马程序  find * -name *.exe

借助xftp查看文件等修时间等
通过搜寻到的sh等木马文件，进一步上传沙箱，查看配置文件，找寻到矿池用户名ip等信息，结合日志研判
linux查看隐藏文件：ls -al
3.进程，木马文件的清除

删除计划任务
删除启动项
删除进程
删除服务
删除木马文件
删除公钥ssh等
借助火绒剑强制kill进程，重复服务器查看情况

windows安全登录日志数字符：

登录失败：4625
登录成功：4624

管理工具推荐：

火绒剑
pchunter

0x04 攻击溯源

攻击痕迹溯源：中间件日志，主机日志，第三方服务日志分析
漏洞痕迹查看，需要分析出攻击时间，攻击入侵方式，定位病毒文件，
提出修改简历，整理报告