【安全系列--处理挖矿】

现象:我们云上waf提示有台服务器存在挖矿行为

解决思路:

1、查看服务器的进程情况

bash 复制代码
top

发现服务的CPU使用率非常高

2、使用性能分析工具perf查看占用的cpu进程

bash 复制代码
sudo apt install linux-tools-common

发现一些kernel进程存在异常

3、使用find查一下这个可疑的进程是什么文件

bash 复制代码
find / -name kernel

发现一个可疑文件/etc/system/kernel

4、处理方法

bash 复制代码
#删除这个文件
rm -rf /etc/system/kernel

5、查看下是否还存在这个程序文件

5.1查看这个文件是否被隐藏了
bash 复制代码
ls -al
5.2查看这个程序是否有计划任务
bash 复制代码
1、进入/etc/cron.d这个目录查看
2、crontal -l 这个只能查看当前用户的计划任务
5.3查看存放开机自启的可疑文件
bash 复制代码
1、/etc/profile.d
2、.bashrc
3、/etc/profile
4、.bash_profile
5、/etc/init.d
5.3查看临时目录是否存在可疑文件
bash 复制代码
ll -a /tmp
5.4 查看是否存在可疑的service启动文件
bash 复制代码
find / -name *service
相关推荐
BenSmith1 小时前
CVE-2025-6554漏洞复现
安全
BenSmith1 小时前
CVE-2018-17463复现
安全
lsec1 小时前
内存加载带有TLS的DLL的问题分析
windows·安全
m0_694845573 小时前
服务器如何配置防火墙规则开放/关闭端口?
linux·服务器·安全·云计算
柴郡猫^O^7 小时前
OSCP - Proving Grounds - DC - 1
安全·网络安全·安全性测试
泡泡以安7 小时前
JA3指纹在Web服务器或WAF中集成方案
服务器·安全·https·ja3指纹
Raners_7 小时前
【Linux】文件权限以及特殊权限(SUID、SGID)
linux·安全
格调UI成品9 小时前
预警系统安全体系构建:数据加密、权限分级与误报过滤方案
大数据·运维·网络·数据库·安全·预警
Wallace Zhang11 小时前
STM32F103_Bootloader程序开发11 - 实现 App 安全跳转至 Bootloader
stm32·嵌入式硬件·安全
CertiK12 小时前
IBW 2025: CertiK首席商务官出席,探讨AI与Web3融合带来的安全挑战
人工智能·安全·web3