场景

受公司委托对客户服务器挖矿木马进行应急处置，客户说服务器很卡让我们排查处置一下，okok，直接远程开搞开搞，所有可疑文件先下载留存，再删除。

排查分析

使用top命令查看CPU使用率时发现，进程warmup CPU使用率过高，如图所示，该进程高度可疑。即使是kill 掉该进程也无济于事，后面又会自动跑起来。

使用ps命令查看进程时发现可疑进程/root/.warmup/warmup，如图所示。

通过命令chkconfig排查开机启动项，如图找到warmup文件

通过find / -name "*warmup*"命令排查启动项时发现存在10个可疑启动项，/etc/rc.d/init.d/warmup、/etc/rc.d/rc0.d/K15warmup、/etc/rc.d/rc1.d/K15warmup、/etc/rc.d/rc2.d/S85warmup、/etc/rc.d/rc3.d/S85warmup、/etc/rc.d/rc4.d/S85warmup、/etc/rc.d/rc5.d/S85warmup、/etc/rc.d/rc6.d/K15warmup、/etc/alternatives/.warmup、/root/.warmup，部分可疑启动项如图所示。

通过crontab -l排查计划任务时发现没有计划任务，这肯定隐藏着计划任务，客户说已经杀死进程，但还会一直自动生成启动。那就上cron.weekly、cron.hourly、cron.monthly看看吧，果然在cron.hourly发现了异常。如图

在somescript中查看有多个位置有关联文件，如图

那就继续排查找到关联位置相关文件，找到etc/alternatives/.warmup中的恶意文件，如图

对提取的文件cpnfig.json进行威胁检测分析，经分析，该文件为挖矿木马文件(coinMiner木马)，如图

使用cat命令查看config.json文件内容，发现该文件url中地址为矿池地址，情报分析如图。

邮件排查，使用ls -l命令列出/var/spool/mail下的可疑文件并查看，对涉及到的IP进行威胁情报分析，经分析，涉及IP均为矿池地址，如图。

上述只要找到和warmup关联的文件都下载下来留存，方便后续溯源。

应急处置

1、结束进程，kill -进程id；

2、删除所有关联恶意启动项；

3、删除所有关联恶意服务项；

4、删除所有关联恶意计划任务；

5、全盘查杀木马,并重启服务器。

其他排查路径

其他可能存在定时任务需要排查的路径

/var/spool/cron/*

/var/spool/anacron/*

/etc/crontab

/etc/anacrontab

/etc/cron.*

/etc/anacrontab

/etc/rc.d/init.d/

防范措施

1.安装杀毒软件

安装杀毒软件，更新病毒库，进行全盘杀毒。

2.避免弱密码

避免使用弱密码，避免多个系统使用同一密码，登录口令要有足够的长度和复杂性，并定期更换登录口令。

3.关闭应用服务

关闭Windows共享服务、远程桌面控制等不必要的服务。

4.应用安装

不要安装不认识的、具有风险的应用；安装应用尽量到正规应用商店下载。

5.提高网络安全意识

不使用不明来历的U盘、移动硬盘等存储设备；

不要点击来源不明的邮件以及附件；

不要下载来源不明的破解软件；

不接入公共网络也不允许内部网络接入来历不明外网设备。

————————————————

版权声明：本文为CSDN博主「beichenyyds」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/beichenyyds/article/details/126866876