记录一次服务器遭受了被挖矿，导致CPU负载的情况。

记录一次遭受了挖矿软件导致CPU飙高的情况。

在登陆了服务器后发现电脑出现了有一个进程占据非常高的情况。

通过查询是挖矿程序。

 

 

 

 

 

 

知道了飙高的原因我们需要查出来什么这个挖矿软件是什么来头。

排查步骤：

查看计划任务

crontab -l  查询全部的定时任务

crontab -r 删除定时任务

crontab -e  编辑定时任务
/var/spool/cron  定时任务的配置文件所在目录

/var/log/cron  定时任务日志文件

/etc/cron.deny  定时任务黑名单

 

 

 先通过询问查明非正常渠道的情况下删掉任务。再追根溯源也删除掉stargate.lock的文件

 

通过PID查询进程位置和文件

查询的方法有两种。

输入 ls -l /proc/#{病毒PID}/exe  查看病毒路径。
或者输入 systemctl status #{病毒PID}
关注CGROUP显示的文件

 

 

 

 

 

步骤一：kill掉进程和删除病毒文件。

当我们用第一种方法尝试的时候进入了文件目录，我尝试删除xxxx的exe文件后，系统过了一会还会继续自动创建挖矿程序，说明删除的文件不是根本文件，删除后会有一个脚本进行检测拉取。

通过删除和kill -9 进程没办法。

 

步骤二：这个可以解决大部分的挖矿脚本问题。通过系统status进行检测关联的进程。

我们可以发现该进程关联了sh文件。通过查看该文件，发现就是这个sh拉取的。

首先我们肯定是删除掉该文件。避免再次拉取。

然后直接停止进程和删除挖矿程序就可以了。

 

注意事项：

如果出现文件删除不了是被锁定了。

查询文件是不是被锁

1.用chattr命令防止系统中某个关键文件被修改：

chattr +i /etc/resolv.conf
然后用mv /etc/resolv.conf等命令操作于该文件，都是得到Operation not permitted的结果。vim编辑该文件时会提示W10: Warning: Changing a readonly file错误。
要想修改此文件就要把i属性去掉： chattr -i /etc/resolv.conf

lsattr /etc/resolv.conf
会显示如下属性：
----i-------- /etc/resolv.conf

备注2：

2.让某个文件只能往里面追加数据，但不能删除，适用于各种日志文件：

chattr +a /var/log/messages

 

# 解除锁定
chattr -i /root/.ssh/authorized_keys
# 编辑权限
chmod 777 /root/.ssh/authorized_keys
# 清空authorized_keys
vi /root/.ssh/authorized_keys
# 清空后恢复权限
chmod 400 /root/.ssh/authorized_keys
# 锁定authorized_keys
chattr +i /root/.ssh/authorized_keys
# 防止通过重命名.ssh文件夹绕过设置
chattr +i /root/.ssh

 

验证是否为病毒文件：

https://www.virscan.org/language/zh-cn/

放入文件就可以检测了

 

 附加其他的检测平台：

VirSCAN：https://www.virscan.org/language/zh-cn/

腾讯哈勃分析系统：https://habo.qq.com

魔盾安全分析：https://www.maldun.com/submit/submit_file/

微步在线云沙箱：https://s.threatbook.cn/

Jotti的恶意软件扫描系统：https://virusscan.jotti.org/

Falcon Sandbox：https://www.hybrid-analysis.com/

VirusTotal：https://www.virustotal.com/gui/home

奇安信文件深度分析平台：https://sandbox.ti.qianxin.com/

ScanVir：http://www.scanvir.com/