挖矿排查标准操作程序（SOP）详细版

挖矿排查标准操作程序（SOP）详细版

目的

本文档旨在提供一个详细的操作流程，用于排查和识别系统中的挖矿活动，以及相关的守护进程。

范围

适用于所有需要排查挖矿活动的IT专业人员和系统管理员。

工具和资源

• pstree
• crontab
• systemctl
• netstat
• lsof
• top
• find
• awk
• diff
• ssh 相关配置文件
• /etc/passwd
• /etc/shadow
• /etc/crontab
• /etc/rc.d/rc.local
• /etc/systemd/system/

操作步骤

1. 进程监控

• 步骤：使用 pstree 命令查看进程树，识别可疑进程的父进程和子进程。
• 正常情况：进程树显示正常，没有异常的进程链。
• 异常情况：发现未知或可疑的进程，特别是那些与已知挖矿软件相关的进程。

2. 定时任务和服务检查

• 步骤：
  • 使用 crontab -l 检查当前用户的计划任务。
  • 使用 systemctl list-unit-files 检查系统服务。
• 正常情况：所有计划任务和服务都是已知的，并且与业务相关。
• 异常情况：发现未知或可疑的定时任务或服务。

3. 网络连接分析

• 步骤：使用 netstat -anp | grep PID 查看与可疑进程相关的网络连接。
• 正常情况：网络连接都是正常的，没有异常的外部连接。
• 异常情况：发现与可疑IP地址的连接，特别是那些与挖矿池相关的地址。

4. 文件和路径分析

• 步骤：使用 ls -l /proc/PID/exe 检查可疑进程的可执行文件路径。
• 正常情况：文件路径指向已知的系统文件或应用程序。
• 异常情况：文件路径指向未知或可疑的位置，或者文件是新添加的。

5. 进程持久性

• 步骤：检查系统的自启动项，如启动脚本、系统服务等。
• 正常情况：自启动项都是已知的，并且与业务相关。
• 异常情况：发现未知或可疑的自启动服务或脚本。

6. 发现可疑进程

• 步骤：利用 top 命令，观察发现CPU占用率极高的进程。
• 正常情况：进程的CPU占用率在正常范围内。
• 异常情况：发现CPU占用率异常高的进程，可能是挖矿程序在运行。

7. 根据pid定位病毒文件路径

• 步骤：使用 lsof -p $pid 以及 ll /proc/$pid/exe 定位原始文件路径。
• 正常情况：文件路径指向已知的系统文件或应用程序。
• 异常情况：文件路径指向未知或可疑的位置。

8. 通过网络定位可疑进程

• 步骤：通过 netstat -antp 命令确认当前受害者主机的TCP通信以及对应的pid。
• 正常情况：网络连接都是正常的，没有异常的外部连接。
• 异常情况：发现与可疑IP地址的连接。

9. crontab持久化排查

• 步骤：查看当前用户的计划任务，发现病毒创建的开机重启任务。
• 正常情况：计划任务都是已知的，并且与业务相关。
• 异常情况：发现未知或可疑的计划任务。

10. 病毒杀不掉？

• 步骤：如果病毒清理后死灰复燃，检查是否有持久化脚本或进程守护操作。
• 正常情况：系统没有异常的持久化脚本或进程守护操作。
• 异常情况：发现持久化脚本或进程守护操作，可能是挖矿木马的守护进程。

11. 隐藏进程检查

• 步骤：使用 ps -ef | awk '{print}' | sort | uniq > 1 和 ps -ef | awk '{print}' | sort | uniq > 2 命令，然后通过 diff 1 2 比较两次输出的差异，以发现隐藏的进程。
• 正常情况：没有发现隐藏的进程。
• 异常情况：发现隐藏的进程，可能是挖矿软件的进程。

12. 最近文件排查

• 步骤：使用 find / -newerct 'YYYY-MM-DD HH:MM:SS' ! -newerct 'YYYY-MM-DD HH:MM:SS' ! -path '/proc/*' ! -path /'sys/*' ! -path '/run/*' -type f -exec ls -lctr --full-time {} \+ 2>/dev/null 命令来查找在特定时间范围内创建或修改的文件。
• 正常情况：最近没有新增或修改的可疑文件。
• 异常情况：发现新增或修改的可疑文件。

13. 用户账号检查

• 步骤：通过 cat /etc/passwd 和 cat /etc/shadow 命令检查系统用户账号，排查是否有异常账号或权限设置。
• 正常情况：系统用户账号都是已知的，并且权限设置合理。
• 异常情况：发现未知的用户账号或不合理的权限设置。

14. SSH公钥检查

• 步骤：检查 /root/.ssh/authorized_keys 文件，确认SSH公钥是否有异常。
• 正常情况：SSH公钥都是已知的，并且没有未经授权的公钥。
• 异常情况：发现未知的SSH公钥。

15. 计划任务检查

• 步骤：检查 /var/spool/cron/root 和 /etc/crontab 文件，确认是否有异常的定时任务。
• 正常情况：计划任务都是已知的，并且与业务相关。
• 异常情况：发现未知或可疑的计划任务。

16. 自启动服务检查

• 步骤：检查 /etc/rc.d/rc.local、/etc/systemd/system/ 以及 /etc/systemd/system/multi-user.target.wants/ 目录下的文件，确认是否有异常的自启动服务。
• 正常情况：自启动服务都是已知的，并且与业务相关。
• 异常情况：发现未知或可疑的自启动服务。

17. 溯源挖矿木马入侵途径

• 步骤：查找系统漏洞并打上对应补丁，完成漏洞修复，防止再次入侵。
• 正常情况：系统没有已知的漏洞。
• 异常情况：发现系统漏洞，需要立即修复。

18. 防护措施

• 步骤：
  • 规范上网行为，不安装来历不明的软件、工具；不打开来历不明的文档；进行严格的隔离，有关系统、服务尽量不要开放到互联网；及时安装系统补丁，修复系统应用漏洞；加强密码策略，增加密码复杂度并进行定期修改。
• 正常情况：所有防护措施都已到位。
• 异常情况：发现防护措施不到位，需要立即加强。

记录和报告

• 记录所有检查步骤和发现的异常情况。
• 编写详细的报告，包括发现的问题、采取的措施和建议。

审核和更新

• 定期审核和更新本SOP，以确保其有效性和适应性。

原文地址：https://blog.csdn.net/weixin_45945976/article/details/143689071

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！