说明
背景
这个服务器是自己搭建靶场用的,处置流程只供参考
某天突然收到条阿里云安全中心的短信,说发现有挖矿程序
上控制台看了下,嗯不错,热乎的还是
ip我就不打码了,是开放在公网的sqli-lab和dvwa靶场,中招应该很正常
顺势锻炼一下我这个新人的主机安全检查的能力
top一下,发现xmrig(门罗币)进程吃了98.7%的cpu
不着急结束进程,先看看能不能查到什么信息
看了下计划任务启动程序登录记录,没发现什么异常
top的时候看到xmrig的pid为14518,顺着pid找下路径,可以看到这个执行程序的绝对路径,看样子是docker容器的路径
cd /proc/14518
ls -lah
切到这个路径下,发现挖矿程序
看下config.json,skypool.org天池矿池
看下其他的这几个文件
一定是热爱学习的网安人来练习靶场了
结论
这个路径就是dvwa靶场的docker容器的路径,应该就是从靶场里的文件上传部分上传进来的