关于挖矿，你需要知道的一切

也可以使用ldd命令查看命令依赖库中是否有可疑动态库文件，如图，在将libprocesshider.so文件加入ld.so.preload文件中后，ldd 命令可看到top命令预先加载了可疑动态库。

确认已经加载恶意动态链接库后，直接移除恶意动态链接库文件或清除ld.so.preload中对该库文件的引用内容即可。

3、以上情况都可以直接通过静态编译的busybox进行排查。

查看挖矿进程所属用户

一般挖矿进程为自动化攻击脚本，所以很少有提权的过程，那么很大可能挖矿进程所属用户即为攻击进入系统的用户。后续的排查过程可根据此寻找攻击者的入侵途径。

top

ps -ef |grep pid

两种方式都可以看到，挖矿进程所属用户为 weblogic。

查看用户进程

确定已失陷用户后，可查询该用户所属其他进程，判断其他进程是否有已知漏洞(Weblogic反序列化、Struts2系列漏洞、Jenkins RCE)或弱口令(Redis未授权、Hadoop yarn未授权、SSH弱口令)等问题。

ps -ef|grep username

可以看到，weblogic用户下除了两个挖矿进程，还有一个weblogic应用的进程，所以这时候就应该判断该weblogic应用是否有已知的漏洞(比如WebLogic反序列化漏洞)。如果有的话，那么该挖矿进程很可能是利用了该漏洞进入主机。

确定原因

排查出挖矿木马后对木马类型进行分析，根据木马的传播特征和传播方式，初步判断本次入侵的原因。然后结合应用日志以及漏洞利用残留文件确定本次攻击是否利用了该漏洞。

比如，利用redis未授权访问漏洞后，一般会修改redis的dbfilename和dir的配置，并且使用redis写文件时，会在文件中残留redis和版本号标识，可以根据以上两个信息排查是否利用了redis。

清除挖矿木马

1、及时隔离主机

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!