渗透系列：实战分享 | 记一次挖矿病毒的溯源----6379---redis

实战分享 | 记一次挖矿病毒的溯源----6379---redis

• 实战分享 | 记一次挖矿病毒的溯源
• • 1.起因
  • 2.排查可疑进程
  • 3.排查网络链接
  • 4.寻找漏洞
  • 5.补救措施
  • 6.脚本分析
  • 总结

---

实战分享 | 记一次挖矿病毒的溯源

PS：因为项目保密，部分截图为作者在本地的环境复现。

1.起因

接到客户电话，称公司web服务异常卡顿。开始认为是web服务缓存过多导致，重启几次无果后觉得可能是受到了攻击。然后判断是ddos攻击，查看web服务器管理面板时发现网络链接很少，但是cpu占用高达99%，于是便怀疑是中了挖矿病毒。

2.排查可疑进程

首先发现cpu占用率过高，初步怀疑是挖矿病毒，于是上ssh开始排查

使用top命令查看进程占用列表，发现并没有占用过高的程序，但是查询cpu占用率确实是99%，怀疑是隐藏了linux进程。