主机恶意挖矿事件问题处理

前言

这件事发生在很久以前了，集团监控到我们单位主机存在挖矿现象，随即发给主机管理员，在处理完成后回复集团，但集团复测后发现该主机仍不断向外网发送恶意请求，接下来是博主的排查过程。

确认恶意IP

恶意IP为139.59.150.7的目的IP的目的地址为德国，经检测为高危恶意IP，有远控、恶意挖矿行为：

 

 

查看该主机端口

发现主机端口已与恶意IP 443端口建立连接：

查找原因

根据度娘经验，一般向这种恶意挖矿现象，都是在主机的动画化脚本上动了手脚，

经核查，黑客在cron.d/systemdd文件下留有后门：

 

核查cron日志

发现周期性进行指令执行：

 

问题处理

发现后已经相关命令进行注释：

 

日志进行验证

发现已停止向恶意IP发送请求，且在防火墙上对该恶意IP进行了封禁：