ld-linux-x86-64挖矿木马查杀记录

2022年8月2日 328点热度 0人点赞 0条评论

今天突然发现服务器CPU跑满了


图片

猜测应该有什么异常进程占用CPU,登陆服务器开始查杀。



一. 确认是哪个进程占用CPU

命令:top

图片

确认是ld-linux-x86-64这个进程异常,google发现原来是挖矿木马

参考文章 https://cloud.tencent.com/developer/article/1798970


二. 确认目录的文件路径

命令:ll /proc/649,其中649是木马的进程id

图片


三. 查看木马详情,可以省略这步

图片

有cron.d自动启动等脚本

图片

run脚本会联系远程ip来更新木马

图片


四. 删除进程、删除木马

kill -9 649

rm -rf /mnt/.cache/*

五. 小结

该服务器存在弱口令问题,估计攻击者是破解了弱口令渗透入服务器植入木马。后续所有服务器都应该规避弱口令问题。

74630ld-linux-x86-64挖矿木马查杀记录

这个人很懒,什么都没留下

文章评论