应急响应：记一次挖矿病毒处置（进程隐藏、Minepool）

事件现象

态势感知监测到外联矿池地址，挖矿病毒家族为Minepool

通过微步确认外联地址为矿池IP

事件处置

定位到主机，上机排查
通过命令netstat -anpt查看网络连接，发现进程id被隐藏

同时top命令查看系统资源占用情况也正常。
通过命令mount | grep proc查看进程挂载，发现可疑挂载进程

通过命令umount -f /proc/5072/强制取消挂载进程

取消挂载后，通过netstat -anpt就能查到进程id了。

且查看资源暂用情况，发现暂用大量系统资源。

通过kill -9 5072强制结束进程，系统恢复正常

总结

主要是通过mount挂载进程实现进程隐藏。

比如当前有一个minio进程（pid：1945）
[root@docker]-[~]-ps -ef|grep minio
root       1945   1924  0 08:06 ?        00:00:10 minio server /data --console-address 0.0.0.0:9999

现在我们将该进程隐藏：
mkdir -p /empty/dir							#首先，创建一个空目录（无任何挂载）
mount -o bind /empty/dir/ /proc/1945		#将空目录进行挂载

然后，我们再来查询看看进程是否隐藏：
[root@docker]-[~]-#ps -ef|grep minio
root      46358  32804  0 10:54 pts/0    00:00:00 grep --color=auto minio
发现，进程已经被我们隐藏掉了，且top等命令都是通过读/proc/下的信息来判断进程情况，所以这样挂载隐藏后，这些命令也是读不到的。