前言:

样本定性威胁情报分析平台:

        Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner

1、Linux系统挖矿病毒脚本检测与清除

(1)、linux系统执行top命令,查看cpu占用爆满,xmrig疑似挖矿病毒脚本

(2)、通过执行命令: find / -name xmrig  找到挖矿脚本的位置,分析脚本文件内容,直接判断或者找到远程url地址,放到奇安信情报威胁中心检测或微步线上分析可以证实为矿池 

 (3)、由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成,所以要继续排查定时任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可

1.检查定时任务
crontab -l            列出当前用户的所有定时任务
crontab -u root -l    查看root 用户的任务计划
ls /etc/cron*         使用正则的*筛选出cron开头的文件
crontab -e            编辑定时任务配置文件

2.启动项排查
ca