共计 330 个字符,预计需要花费 1 分钟才能阅读完成。
前言
这件事发生在很久以前了,集团监控到我们单位主机存在挖矿现象,随即发给主机管理员,在处理完成后回复集团,但集团复测后发现该主机仍不断向外网发送恶意请求,接下来是博主的排查过程。
确认恶意IP
恶意IP为139.59.150.7的目的IP的目的地址为德国,经检测为高危恶意IP,有远控、恶意挖矿行为:
查看该主机端口
发现主机端口已与恶意IP 443端口建立连接:
查找原因
根据度娘经验,一般向这种恶意挖矿现象,都是在主机的动画化脚本上动了手脚,
经核查,黑客在cron.d/systemdd文件下留有后门:
核查cron日志
发现周期性进行指令执行:
问题处理
发现后已经相关命令进行注释:
日志进行验证
发现已停止向恶意IP发送请求,且在防火墙上对该恶意IP进行了封禁:
正文完
