记录linux一次挖矿病毒木马的简单应急处置

经XXX用户单位反应内网10.81.7.25主机频繁访问恶意挖矿域名xmrig.com，如下图所示;

使用命令netstat -antupl通过查询主机的网络连接并将目标IP使用微步社区查询情报，发现存在访问境外恶意地址的进程warmup 进程ID为7826,如下图所示：

使用lsof -p 7826命令查看恶意进程warmup ID 7826，定位了恶意程序的目录/root/.warmup/，如下图所示：

处置建议：

1. 删除/root/.warmup/下所有文件。
2. 在/etc/hosts文件中将 *.xmrig.com 解析为127.0.0.1，防止服务器再次解析恶意域名。
3. 由于服务器root账户为弱口令，故建议更改密码为8位字符以上含大小写字母特殊字符数字的强密码。