写点什么

排查 Linux 恶意进程

作者:灵霄
  • 2022-12-02
    福建
  • 本文字数:710 字

    阅读完需:约 2 分钟

原文

1. 环境

  • 系统:Centos7

2. 因素

  • xmrig

3. 方法

下面以xmrig为例

3.1 查看进程资源情况

$ top或$ top -c
复制代码



可以看到名为xmrig进程,进程号为2266348,CPU 飙升到99.7%,所属用户为test

3.2 查看服务进程号

若知道服务进程号,可以跳过


$ ps -ef | grep xmrig$ ps -aux | grep xmrig // 查看进程号和位置
复制代码


3.3 检查端口的状态

$ netstat -aulntp
复制代码



3.4 查看服务位置

若知道服务位置,可以跳过


$ ls -l /proc/2266348/exe
复制代码


3.5 杀死服务进程

使用 kill 结束掉该服务


$ kill -9 2266348
复制代码


3.6 删除服务文件

$ rm -rf /var/tmp/.mint-xmr/xmrig
复制代码


3.7 删除服务所属用户(可选)

为避免下次在通过 test 植入挖矿、病毒、木马等程序,将 test 用户删除


$ userdel -r test
复制代码


3.8 启动排查-启动项检查

  • 检查启动目录下是否有可疑程序


# /etc/init.d/$ ll /etc/init.d/$ ll -rt /etc/rc.d/
复制代码


  • 检查/etc/rc.d/rc.local


因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件


$ cat /etc/rc.d/rc.local
复制代码


3.9 启动排查-定时任务

# 查看crontab任务$ crontab -l$ cat /etc/crontab# 进入计划任务服务配置$ crontab -e
# 查看anacrontab,是否有可疑项(新修改)$ cat /etc/anacrontab $ ll /etc/cron* -all -rt
复制代码


使用dd删除计划任务,输入命令wq!保存并退出

4. 其它

如何按照上述方式处理后,又反复出现,这时候可以考虑是有另外的捆绑程序,我们可以先杀死进程后再查看网络情况,看看是否其它使用情况


# 查看网络$ iftop -PB# 通过PID查看进程$ lsof -i :[pid]# 定位程序目录$ cd /proc/[pid]# 查看运行命令cat /proc/${pid}/cmdline;# 查看目录相关信息ll /proc/${pid}/cwdll /proc/${pid}/
复制代码


按照以上操作后,再重新kill该服务进程

用户头像

灵霄

关注

还未添加个人签名 2019-02-13 加入

还未添加个人简介

评论

发布
暂无评论
排查Linux恶意进程_灵霄_InfoQ写作社区