【记一次挖矿木马清除过程】今天,在参加ISC2019大会好好的,听着大佬在台上吹比。
忽然,微信响了,一个好久不见的朋友突然问我在不在,我觉得事有蹊跷,果不然,他公司的大数据集群被黑客用来挖矿了。出于好心,我准备晚上回家帮他处理。
在拿到了该服务器的账号密码后,我登录了该服务器。首先,使用 history 查看历史命令,一般历史命令肯定被清除干净了。于是我使用命令 top查看进程情况。第一个进程的CPU飙到百分之一千多去了,一看名字 T69q7f 就是挖矿程序。记住该木马进程的PID 为 3700。
文章图片