Linux服务器挖矿病毒应急案例wp

靶机来源于wxiaoge应急响应培训，请使用ssh访问机器，账户：zyr 密码：wxiaoge123 flag在用户桌面目录中，请答题获取最终flag

此次练习是在无境中：

目标是彻底清理挖矿程序，你的任务是尽快使机器恢复正常，检查重启后是否不再被挖矿，不溯源。

问题 1: 挖矿进程的command是什么？

因为是挖矿类型的应急响应，挖矿程序会大量占用CPU资源，所以使用top命令看第一个。

排名第一的是USER zry运行的某个程序(答案不直接显示出来)。

问题 2：最终运行的挖矿程序名称？提示：k开头

上一步我们看到了zyr用户运行的rsync是占用率的TOP1，提示是k开头，那么直接从根目录检索所有的属于zyr用户的文件，发现了明显的恶意文件。

问题 3: 计划任务中完整的重启计划。

因为是zyr(我们当前的用户)启动的恶意挖矿程序，所以检索当前用户的计划任务列表就可以了，使用crontab -l命令来查看当前用户的计划任务，@reboot开头的就是重启相关的计划任务。

问题 4: Ssh 公钥免密后门文件全路径？

提到了ssh公私钥的问题，所以直接查看zyr的ssh目录就可以看到。虽然这个本身也不算是后门文件吧…

额外拓展：彻底清理挖矿程序。

首先，先把计划任务删了，不然重启后仍然还会执行计划任务启动的。使用crontab -e命令编辑计划任务。

之前查找恶意文件的时候发现了隐藏目录。那么直接递归删除。

使用kill命令杀掉当前的挖矿进程。

别忘记黑客配置了ssh公私钥登录，所以把文件清空。

重启后使用top看到挖矿程序并没有重启。