场景说明

运维人员再设备巡检过程中发现CPU莫名到达百分百，出现异常，请开始你的应急响应排查

cpu百分百，基本就可以确定是中了挖矿病毒了

我们使用命令ps -aux查看进程，或者使用top -c查看进程，排查挖矿程序

使用top -c命令，c是显示完整路径，但是用top不太好查，不如直接ps -aux一下出来了

我们去看网络连接，因为挖矿程序有一个对外开放的端口，然后连接服务器，进行挖矿，使用命令netstat -anptl，看到一个xig的对外连接，连接的地址是122.266.181.85的80端口，我们去沙箱看一下域名

是一个矿池

我们去检查这个恶意挖矿程序被植入的时间

是2018-12-30-02:47:53查看权限是root权限

既然是root权限，那么说明攻击者拿到了root权限，

继续排查是如何入侵的，看网络连接，可能是通过apache2或者ssh来进行入侵的

我们排查是否是ssh入侵或者是web入侵，需要检查web日志和ssh的auth系统登录日志

有大量的爆破记录，ip地址是172.16.251.157，这个是攻击者的ip地址

然后开始爆破时间是

2018-12-30-02:32:54
2018-12-30-02:33:04

结束时间是2018-12-30-02:33:04

然后看成功日志，看什么时间登录进来的

比较好分析，这个是登录时间是2018-12-30-02:33:02,结合错误日志，这个是爆破登录的，然后2018-12-30-02:36:35是攻击者手工登录的，然后最后一次登录是2018-12-30-02:57:37

这个auth.log之所以会记录sudo命令是因为，sudo命令在非管理员用户使用的时候，会验证密码，所以记录在这里了，这里是启动了一个脚本，然后查看定时任务，这个脚本我们还需要继续排查，找脚本路径，然后查看脚本内容，这个脚本在网络连接中也有，当时没注意

通过这个脚本进行安装了xig服务，也就是xig，然后我们去排查一下定时任务和历史命令

我们去看这个脚本进行分析

注册服务，服务名为yiluzhaunqianser

设置定时任务

查看脚本上传的时间，是2018-12-30-02:43:04

看历史命令的时候应该注意，这个crontab -l  crontab -e crontab -l 这里应该是把自动动删除了

使用命令看是否还有自启动命令

总结

根据目前的信息，可以得到如下结论
1.在2018-12-30-02:32:53对服务器的22端口进行爆破，在02:33:02分爆破成功登录系统
2.在2018-12-30-02:43:04上传了一个mservice.sh脚本，执行了脚本，这个是自动化安装挖矿服务的脚本
3.2018-12-30-02:47:53时，挖矿程序已经被成功安装并操作
4.在最后清空了crontab中的自启命令
攻击者ip地址为172.16.251.157

清除病毒

crontab 被入侵者自己清除了，我们不用做了

我们使用命令systemctl --all | grep YiluzhuanqianSer 查看服务是否存在系统中

存在系统中还是active开启状态，我们开启自启动和关闭服务

删除服务，这些全部删除

有些删不掉，实际上只需要删除服务定义文件即可

sudo rm /etc/systemd/system/YiluzhuanqianSer.service

删除恶意脚本

删除opt的yilu这个文件夹和打包的文件

最后加固，因为攻击者是通过ssh暴力破解来入侵的，所以我们要修改一下系统的root密码