挖矿木马排查

排查

$ htop

注意挖矿进程所属的用户。

$ rpm -Va

防止命令被替换。

查看预加载的动态链接文件：

$ cat /etc/ld.so.preload
$ echo $LD_PRELOAD

$ iptables -A INPUT -s xxx.com -j DROP
$ iptables -A OUTPUT -d xxx.com -j DROP

查看可疑的定时任务并删除

$ crontab -l
# 或
$ vim /var/spool/cron/root

还有一些目录下：

/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab

启动项的目录下：

/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local

查看或删除可疑公钥文件：

$ vim ~/.ssh/authorized_keys

$ kill -9 pid
# 或
$ pkill ddg.3014

使用chattr解锁一些加了锁的文件：

$ chattr -i /file

Last updated 6 years ago