挖矿应急响应
windows
打开任务管理器发现中cpu被拉满了,分析进程,查看配置信息,判断矿池
(1)中挖矿后该怎么判断是怎么被入侵的
(2)判断是否有web服务,判断端口,查看日志
(3)找到入口后,进行封堵,这边是通过爆破密码进入的
使用防火墙封堵,或者修改密码
(4)封堵后需要进行清理
发现清理的时候,一删除挖矿病毒后,就会重新启动,那么就有可能是存在计划任务,或者还是其他比如启动项
也有可能是一些服务
计划任务:taskschd.msc/也可以使用直接点击电脑的右键点击属性进行控制
启动项:通过任务管理器查看
linux也是一样:
top查看cpu内存 可以查看到pid和进程名
find / -name "进程名"
ps -aux | grap "pid" 可以查看pid
kill -9 pid 终止进程
rm -rf 删除文件
lsattr 判断是否加锁
chattr -i 去锁
查看是否有计划任务 crontab -l
https://superhero.blog.csdn.net/article/details/141402692
https://mp.weixin.qq.com/s/OuzkbDRVqeNmH_kgptjwug
浙公网安备 33010602011771号