排查 Linux 恶意进程
1. 环境
系统:
Centos7
2. 因素
xmrig
3. 方法
下面以
xmrig
为例
3.1 查看进程资源情况
复制代码
可以看到名为xmrig
进程,进程号为2266348
,CPU 飙升到99.7%
,所属用户为test
。
3.2 查看服务进程号
若知道服务进程号,可以跳过
复制代码
3.3 检查端口的状态
复制代码
3.4 查看服务位置
若知道服务位置,可以跳过
复制代码
3.5 杀死服务进程
使用 kill 结束掉该服务
复制代码
3.6 删除服务文件
复制代码
3.7 删除服务所属用户(可选)
为避免下次在通过 test 植入挖矿、病毒、木马等程序,将 test 用户删除
复制代码
3.8 启动排查-启动项检查
检查启动目录下是否有可疑程序
复制代码
检查
/etc/rc.d/rc.local
因为
/etc/rc.local
文件是/etc/rc.d/rc.local
文件的软链接,所以只要检查/etc/rc.d/rc.local
文件
复制代码
3.9 启动排查-定时任务
复制代码
使用dd
删除计划任务,输入命令wq!
保存并退出
4. 其它
如何按照上述方式处理后,又反复出现,这时候可以考虑是有另外的捆绑程序,我们可以先杀死进程后再查看网络情况,看看是否其它使用情况
复制代码
按照以上操作后,再重新kill
该服务进程
评论