记第一次Linux下查杀kswapd0挖矿木马

一、背景介绍

某天下午，接到一客户内网服务器中了挖矿病毒的消息，需要进行应急响应处置。当时由于以前只看过相关处理流程和步骤，还没动手试验过，顿时感觉展现技术的时候到了。

二、处置流程

1.远程服务器，通过top命令查看实时进程，发现kswapd0进程占用CPU明显异常。进程ID为313075。

1. top

复制代码

2.根据该进程的PID来定位该进程的文件路径。

1. ls -la /proc/[PID]/exe  

复制代码

3.在/root/目录下，通过ls -la查找隐藏的病毒文件夹。

4.进入/root/.configrc/病毒目录，查看发现存在大量病毒文件，以及kawapd0程序。

5.查看kswapd0的文件修改时间。

1. stat kswapd0

复制代码

6.根据kswapd0进程的PID查找相关的网络连接，发现有个一直与一个外网的45.9.148.58:80地址连接。

1. netstat -natupl | grep [PID]

复制代码

7.通过微步搜索该IP地址，发现是个荷兰的IP，并且已经被用户标位矿池IP。

8.查看Linux服务器的定时任务，发现有大量与病毒文件相关的定时任务，需要全部删除。

1. /var/spool/cron/root        //定时任务文件
   
2. crontab -l                          //查看定时任务
   
3. crontab -e                         //编辑定时任务

复制代码

9.通过定时任务，定位/dev/shm/.X19273/.rsync目录的病毒运行文件。需要全部删除。

10.直接kill掉病毒文件运行进程。可以看到kill掉后，CPU就恢复正常了。

1. kill -9 [PID]

复制代码

11.分析病毒样本，发现会在/root/.ssh/目录下生成一个病毒公钥文件，黑客可以通过该公钥远程到此计算机来。

12.需要进入/root/.ssh/目录下删除病毒公钥文件

总结一下大致的处置流程：

1.直接kill掉kswapd0的进程ID，后续观察服务，然后 清理计划任务: crontab -e

2.删除/root/ 目录下的.configrc病毒文件夹

3.删除/root/ 目录下的.ssh病毒公钥文件夹

4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。

其实在定位到进程文件的时候，就在网上搜了下该病毒对应的处置思路。

附上相关链接：http://www.hackdig.com/12/hack-243523.htm

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

学习了

学习一下，感谢楼主无私分享

感谢楼主的精彩分享，有助工作!!!