前情提要

通过IP外连的日志被公司网管通知服务器中了矿马

误报原因

该IP的威胁情报被某一用户(可信度比较低)标记为矿池
这就涉及威胁情报中的可信度部分和开源情报污染

如果正在运行

netstat

通过IP查找对应进程

  1. netstat -nt | grep [IP] | awk '{print $5}' | awk -F: '{print ($1>$4?$1:$4)}' | sort | uniq -c | sort -nr | head

通过端口查找对应进程

  1. netstat -ntlp | grep [port] | awk '{print $7}' | cut -d/ -f1

曾运行过

日志

清理环境

  1. 停止服务:systemctl stop *.service
  2. 杀掉进程:kill 9 PID,很多时候不光杀掉一个进程;
  3. 删除文件:rm -fr abnormal_file,删除文件时可以使用find / -name abnormal_file查找出系统中所有的恶意文件;
  4. 清理定时任务:crontab -e;与Windows相同的是在删除完成后我们需要反向操作一次与间隔一定时间后再复查一次是否清理干净。

参考

《挖*应急响应小结》