qq_46081990的博客

挖矿病毒的背景一般是CPU、GPU占用很高，服务器耗电量很大我们上来首先做的是看CPU、GPU占用率，定位占用率很高的进程找到挖矿病毒样本，将病毒样本放到微步在线上分析由于挖矿病毒通常会做权限维持，单纯删除病毒文件无法根治，还是会重新生成所以要继续排查计划任务、启动项、映像劫持等，删除干净后，杀死进程并删除病毒文件即可由于黑客能上传挖矿病毒，那必定是拿到了服务器权限的，所以重点还需要知道黑客是如何进来的（比如黑客通过ssh弱口令爆破拿到的服务器，那么我们如何知道呢？

针对网页篡改与Web后门攻击应对措施：基于客户反映的情况，我们拿到的信息可能是时间、漏洞，也可能什么也没有。

1、对于系统层面的后门：对于常规MSF后门，其一般会有网络外连的情况，可使用火绒剑、PCHunter工具查看网络，针对网络外连的进行逐一排查对于权限维持后门，比如自启动、映像劫持，在火绒剑、PCHunter里也有对应的栏目，也可逐一排查1.2、linux对于常规MSF后门，其一般会有网络外连的情况，可使用命令：netstat -anpt 针对网络外连的进行逐一排查对于Rootkit、权限维持后门，可使用工具GScan、rkhunter进行排查2、对于Web层面的后门：2.1、普通Web后门。