记一次门罗币挖矿病毒处置

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

背景：

某客户被政务服务中心通报中了挖矿病毒，要求进行处置

现场处置：

1，发现通报的是一台CENTOS系统的服务器，发现有大量占用CPU资源的进程kheiper，看到这个进行直接就知道是门罗币的挖矿了，

2，寻找病毒文件，通过ps aux | grep kheiper，找到kheiper文件的进程ID,然后找到异常进程的文件所在位置，发现三个异常文件：kheiper、keeiper.cfg、nohup.out

   3，拿到kheiper文件到virustotal进行分析

通过virustotal分析MD5值发现该文件是门罗币挖矿病毒，并向多个矿池地址有访问登录记录，目前可以判断该服务器中了门罗币挖矿病毒。

   4，挖矿病毒清除

进入opt目录下，删除所有挖矿病毒文件，并删除自启动任务中的启动计划，通过全系统检查是否还存在kheiper文件，重启服务器后观察一段时间后也没有发现有异常程序启动和占用大量的系统资源。

           5，最后发现在启动任务里面还有启动计划，把启动计划相关内容清除干净

           6，处置还是比较顺利，刚好看到进程异常运行，直接通过进程寻找到病毒文件进行处置，不知道客户内网还有没有其他服务器有了，客户没提也就没协助查找，还是建议客户要上EDR啊！！

感谢楼主分享，文章对排查门罗币挖矿有帮助，很实用，期待楼主多分享在linux下的病毒处置文章。

学习到了，不错 。

感谢您的分享，已将文章放入技术博客中，以便让更多的用户关注和学习！

社区技术博客征稿活动正在进行，发布标题为#原创分享#开头的文章，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=113795

学习了，谢谢

经验之谈

学习学习。。。。

感谢分享

学习了，这个病毒看起来是简单的，没有隐藏进程。

学习了，感谢。

感谢分享