挖礦木馬通常還會(huì)在~/.ssh/authoruzed_keys文件中寫入黑客的SSH公鑰，這樣子就算用戶將挖礦木馬清除得一干二凈，黑客還是可以免密登陸該主機(jī)，這也是常見的保持服務(wù)器控制權(quán)的手段。

排查~/.ssh/authorized_keys文件，如果發(fā)現(xiàn)可疑的SSH公鑰，直接刪除。

（1）清除挖礦進(jìn)程

挖礦木馬最大的特點(diǎn)就是會(huì)在用戶不知情的情況下，利用主機(jī)的算力進(jìn)行挖礦，從而消耗主機(jī)大量的CPU資源，所以，通過執(zhí)行如下命令排查系統(tǒng)中占用大量CPU資源的進(jìn)程。

確認(rèn)相關(guān)進(jìn)程為挖礦進(jìn)程后，按照如下步驟將其清除：
獲取并記錄挖礦進(jìn)程的文件路徑：

殺死挖礦進(jìn)程：

刪除挖礦進(jìn)程對(duì)應(yīng)的文件

（2）清除其它相關(guān)惡意進(jìn)程

惡意進(jìn)程與外部的C2服務(wù)器進(jìn)行通信時(shí)，往往會(huì)開啟端口進(jìn)行監(jiān)聽。執(zhí)行如下命令，查看服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽。

若有未授權(quán)進(jìn)程，按照如下步驟將其清除：
獲取并記錄未授權(quán)進(jìn)程的文件路徑：

殺死未授權(quán)進(jìn)程：

刪除未授權(quán)進(jìn)程對(duì)應(yīng)的文件

還可以通過如下命令排查近期新增的文件，清除相關(guān)木馬

對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)排查和安全加固，避免挖礦木馬卷土重來，詳情可參考如下鏈接：https://cloud.tencent.com/document/product/296/9604

很多用戶會(huì)反饋挖礦木馬老是清理不干凈，明明已經(jīng)Kill了進(jìn)程，刪除了木馬文件，沒過多久，CPU占用率又上來了。究其根本，還是因?yàn)榍宄貌粔驈氐?。大部分用戶都只是Kill掉挖礦進(jìn)程和對(duì)應(yīng)文件，卻沒有清理計(jì)劃任務(wù)和守護(hù)進(jìn)程。

一般建議先清除計(jì)劃任務(wù)、啟動(dòng)項(xiàng)、守護(hù)進(jìn)程，再清除挖礦進(jìn)程和其他惡意進(jìn)程。

如下圖所示，未知進(jìn)程kinsing監(jiān)聽本地31458端口，非常可疑，可通過如下方法判定：
（1）執(zhí)行`ls -al /proc/$PID/exe`確認(rèn)可疑進(jìn)程對(duì)應(yīng)的文件；
（2）若文件未被刪除，則直接上傳文件到Virustotal進(jìn)行檢測(cè)，或者計(jì)算出文件對(duì)應(yīng)的md5，使用md5去Virustotal進(jìn)行查詢；若文件已被刪除，可執(zhí)行`cat /proc/$PID/exe > /tmp/t.bin`將進(jìn)程dump到特定目錄，再上傳文件到Virustotal或者計(jì)算dump文件對(duì)應(yīng)的md5到Virustotal進(jìn)行查詢。如果有多款殺毒引擎同時(shí)檢出，那基本可以判定該進(jìn)程為惡意進(jìn)程。

Virustotal地址：https://www.virustotal.com/gui/s

https://blog.csdn.net/chenmozhe22/article/details/112578057

（2）篡改預(yù)加載so文件，ls、top、ps等命令已經(jīng)被木馬的動(dòng)態(tài)鏈接庫(kù)劫持，無法獲得木馬進(jìn)程相關(guān)的信息

通過執(zhí)行如下命令即可復(fù)原：

【相關(guān)文章】

https://cloud.tencent.com/developer/article/1744547

（3）通過其他未知手段篡改系統(tǒng)命令

可分別嘗試如下兩種方案解決：
i.從其他相同版本系統(tǒng)中拷貝命令源文件到當(dāng)前系統(tǒng)中進(jìn)行覆蓋；可使用uname -a命令查看當(dāng)前系統(tǒng)版本；

ii.或者安裝busybox來對(duì)系統(tǒng)進(jìn)行排查。

busybox是一個(gè)集成了300多個(gè)最常用Linux命令和工具的軟件，可以使用busybox替代系統(tǒng)命令對(duì)系統(tǒng)進(jìn)行排查；

【相關(guān)文章】

https://www.cnblogs.com/angryprogrammer/p/13456681.html

文章轉(zhuǎn)載：烏雲(yún)安全
（版權(quán)歸原作者所有，侵刪）