排查 Linux 恶意进程

作者：灵霄

2022-12-02
福建
本文字数：710 字
阅读完需：约 2 分钟

原文

1. 环境

系统：Centos7

2. 因素

xmrig

3. 方法

下面以xmrig为例

3.1 查看进程资源情况

$ top或$ top -c

复制代码

可以看到名为xmrig进程，进程号为2266348，CPU 飙升到99.7%，所属用户为test。

3.2 查看服务进程号

若知道服务进程号，可以跳过

$ ps -ef | grep xmrig$ ps -aux | grep xmrig // 查看进程号和位置

复制代码

3.3 检查端口的状态

$ netstat -aulntp

复制代码

3.4 查看服务位置

若知道服务位置，可以跳过

$ ls -l /proc/2266348/exe

复制代码

3.5 杀死服务进程

使用 kill 结束掉该服务

$ kill -9 2266348

复制代码

3.6 删除服务文件

$ rm -rf /var/tmp/.mint-xmr/xmrig

复制代码

3.7 删除服务所属用户（可选）

为避免下次在通过 test 植入挖矿、病毒、木马等程序，将 test 用户删除

$ userdel -r test

复制代码

3.8 启动排查-启动项检查

# /etc/init.d/$ ll /etc/init.d/$ ll -rt /etc/rc.d/

复制代码

检查/etc/rc.d/rc.local

因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接，所以只要检查/etc/rc.d/rc.local文件

$ cat /etc/rc.d/rc.local

复制代码

3.9 启动排查-定时任务

# 查看crontab任务$ crontab -l$ cat /etc/crontab# 进入计划任务服务配置$ crontab -e
# 查看anacrontab，是否有可疑项（新修改）$ cat /etc/anacrontab $ ll /etc/cron* -all -rt

复制代码

使用dd删除计划任务，输入命令wq!保存并退出

4. 其它

如何按照上述方式处理后，又反复出现，这时候可以考虑是有另外的捆绑程序，我们可以先杀死进程后再查看网络情况，看看是否其它使用情况

# 查看网络$ iftop -PB# 通过PID查看进程$ lsof -i :[pid]# 定位程序目录$ cd /proc/[pid]# 查看运行命令cat /proc/${pid}/cmdline;# 查看目录相关信息ll /proc/${pid}/cwdll /proc/${pid}/

复制代码

按照以上操作后，再重新kill该服务进程

发布于: 刚刚阅读数: 4

灵霄

关注

还未添加个人签名 2019-02-13 加入

还未添加个人简介

发布

暂无评论

创作场景

排查 Linux 恶意进程

1. 环境

2. 因素

3. 方法

3.1 查看进程资源情况

3.2 查看服务进程号

3.3 检查端口的状态

3.4 查看服务位置

3.5 杀死服务进程

3.6 删除服务文件

3.7 删除服务所属用户（可选）

3.8 启动排查-启动项检查

3.9 启动排查-定时任务

4. 其它

灵霄

评论