记录linux一次挖矿病毒木马的简单应急处置

2023-12-18 15:30:01

经XXX用户单位反应内网10.81.7.25主机频繁访问恶意挖矿域名xmrig.com,如下图所示;

使用命令netstat -antupl通过查询主机的网络连接并将目标IP使用微步社区查询情报,发现存在访问境外恶意地址的进程warmup 进程ID为7826,如下图所示:

使用lsof -p 7826命令查看恶意进程warmup ID 7826,定位了恶意程序的目录/root/.warmup/,如下图所示:

处置建议:

  1. 删除/root/.warmup/下所有文件。
  2. 在/etc/hosts文件中将 *.xmrig.com 解析为127.0.0.1,防止服务器再次解析恶意域名。
  3. 由于服务器root账户为弱口令,故建议更改密码为8位字符以上含大小写字母特殊字符数字的强密码。

文章来源:https://blog.csdn.net/CHENSMALLYUN/article/details/132757721
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。