挖矿病毒应急响应分析

Top发现CPU资源异常，wafmanager占用大量网络带宽：

作为管理员来说，首先kill它：

用户root运行。

1. 查询特权用户和远程登陆的账号信息，其中r00t很可疑：
   

2. 查看除root外的用户权限：
   

3. 查看账号执行过的命令：
   R00t：
   
   
   
   
   
   
   其中查看了selinux, selinux主要影响的是网络服务，如果开启了某个网络服务就要考虑是否和selinux有关系。查看selinux:
   
   此时natop,natop_back,getty,getty_back已经是可疑文件，查看后，建议删除这些文件：
   Natop:
   
   Natop_back:
   
   Getty:
   
   

4. 端口检测：
   有很多IP很可疑，PID为6251：
   
   
   查看下pid=6251所对应的进程文件路径：
   

进入目录查看文件cron：


建议删除所有的cron文件
Lastb查看登入系统失败的用户，并在/var/log目录下查看btmp：


5. 猜测攻击者是怎么进入服务器内部：
定位有多少IP在**主机：

定位哪些IP在**：


**用户名的字典：

登陆成功的IP：

登陆成功的用户名，IP：


其中有2个IP很可疑，登陆次数过多，猜测服务器是被暴力**后，攻击者登陆服务器将其设置为矿机，为其挖矿。
6. 查杀：
Rootkit查杀，病毒查杀Clamav。


技术不深，望各位大佬多多建议。