朋友说他的机器被用来挖矿了，叫我帮他处理一下，正好锻炼锻炼应急响应能力。

top查看cup发现占用300%，确实是被用来挖矿了。

查看异常进程9926的pid端口，发现为空查找不到连接情况，怎么回事？

查看全部端口网络连接，发现pid被清除了，但是本地有异常端口连接情况，异常IP地址为5.133.65.54。

查看IP为国外IP，微步上显示矿池IP。

既然有pid那就先杀死进程。

但是过一会挖矿木马又重新启动，pid为13097。

既然会自动复活猜测存在定时任务，查看时却为空。

那只能查看计划任务文件，发现异常计划任务并且路径为/etc/xbash/xbash。

继续查看其他计划任务 /var/spool/cron。

本以为删除计划任务、终止进程木马后就可以了。谁知道没一会cpu又被跑满，异常进程pid为19037，那应该还存在守护进程。

systemctl status 19037查看守护进程，发现异常地址为/root/gcclib/libgcc_a

接下来清除异常进程，删除异常文件。

再删除最开始计划任务中另一个异常文件。

随后查看网络连接，恢复正常。

为防止木马再次复活，重启后过一段时间查看cpu，也处于正常状态。

攻击者通过爆破22端口进入主机，并启动木马。该木马病毒比较狡猾，杀死进程后不仅存在计划任务会导致复活，还存在守护进程。在不清除守护进程的前提下无法从根本去除该木马。该病毒在沙箱显示安全，可能是因为比较新没有检测到。属于Derusbin家族xmrig挖矿程序，用来挖掘门罗币。存在多个恶意行为，例如通过写入一个contrab创建计划任务，停止指定服务，并使用wget命令从网上下载文件到目标机，还有读取用户数据，删除文件及修改文件夹权限等等。

禁止弱口令，建议由大小写字母，特殊字符以及数字组成。

定期检查安全软件安装情况及病毒库更新。

内部进行安全培训，加强安全意识。