日常黑客挖矿脚本自查思路。
1.top 看一下有没有程序飙高的进程
能看到?
(1)
确认是否是自己用的?
是? pass
否?干掉
【日常黑客挖矿脚本自查思路。】看不到飙高进程(进程被隐藏)
(2)
安装一下perf top -s comm,pid (comm是进程名,pid是进程号) 查看详细2进制进程(也叫隐藏进程)
查看飙高进程,是自己用的嘛?
干掉
2.查看计划任务
crontab -l
如果没有查看更多计划任务列表
/etc/cron /var/spool/cron/root …
3.等待几分钟查看病毒是否再次启动
以下是遇到的几个挖矿,写出的对应脚本。
#!/bin/bash
ps aux|grep “I2NvZGluZzogdXRmLTg”|grep -v grep|awk ‘{print $2}’|xargs kill -9
echo “” > /etc/cron.d/root
echo “” > /etc/cron.d/system
echo “” > /var/spool/cron/root
echo “” > /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacron
rm -rf /etc/cron.daily/oanacron
rm -rf /etc/cron.monthly/oanacron
rm -rf /bin/httpdns
sed -i ‘$d’ /etc/crontab
sed -i ‘$d’ /etc/ld.so.preload
rm -rf /usr/local/lib/libntp.so
ps aux|grep kworkerds|grep -v color|awk ‘{print $2}’|xargs kill -9
rm -rf /tmp/.tmph
rm -rf /bin/kworkerds
rm -rf /tmp/kworkerds
rm -rf /usr/sbin/kworkerds
rm -rf /etc/init.d/kworker
chkconfig --del kworker
该脚本对应的是单进程标高,自动删除脚本。
#!/bin/bash
pid=-1
while true;
do
users=‘w|wc -1’
if[ $users -lt 3];
then
sleep 10
pid='ps -ef|grep sshd-|grep -v grep|awk '{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}?'' if [ -z "pid"];
then
./sshd- >/dev/null 2>/dev/null
else
kill $pid
fi
else
pid='ps -ef | grep sshd-|grep -v grep|awk '{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}?'' if [ -z "pid"];
then
sleep 10
else
kill $pid
sleep 100
fi
fi
done
1.进程行为
通过top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU占用率高的进程。
网络连接状态
通过netstat -anp命令可以查看主机网络连接状态和对应进程,查看是否存在异常的网络连接。
2.自启动或任务计划脚本
3.查看自启动或定时任务列表,例如通过crontab查看当前的定时任务。
4.查看主机的例如/etc/hosts,iptables配置等是否异常。
5.日志文件
通过查看/var/log下的主机或应用日志,例如这里查看/var/log/cron*下的相关日志。
6.安全防护日志
查看内部网络和主机的安全防护设备告警和日志信息,查找异常。
通常在企业安全人员发现恶意挖矿攻击时,初始的攻击入口和脚本程序可能已经被删除,给事后追溯和还原攻击过程带来困难,所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。
推荐阅读
- 增长黑客的海盗法则
- 被新冠“病毒”感染的日常生活(八)
- “葱辣嘴、蒜辣心、姜辣胃、辣椒辣两头”日常中的四辣功效|“葱辣嘴、蒜辣心、姜辣胃、辣椒辣两头”日常中的四辣功效 养生早知道
- 驾校小白的“日常”
- 不攀比不羡慕,也不失望
- 春季试衣间|春季试衣间|UNIQLO优衣库 UR HOTWIND热风春夏新品搭配 日常搭配 可盐可甜
- Filecoin挖矿投资报告
- 亲子日常|亲子日常 D68
- 日常积累,水到渠成的必备要素
- 日常改PS