文章描述了一台自建DNS服务器遭受来自20.20.20.203地址的恶意域名解析请求,日志显示请求为clientdonate.v2.xmrig.com,并且查询被拒绝。在受影响的节点上,虽然未在常规进程列表中发现异常,但通过top命令发现了使用bash进行隐藏的病毒进程。作者指出,这类病毒通常会有定时任务,需要进一步检查系统定时任务以清除威胁。
现象:自己搭建的一台DNS server,狂刷日志:
关键字: client donate.v2.xmrig.com query cache denied
根据日志可知,是客户端20.20.20.203,一直在向该节点解析域名。
ssh到203节点后,cat /etc/resolv.conf,通过其配置也能证明这一点。
在203节点,使用ps aux或者ps -efH,没有发现任何异常进程,最后通过top命令:
确认病毒PID。再通过ps查看,发现其做了个小隐藏:
这样通过ps看到的进程名就是bash。
知道PID后,就可以定位病毒位置了。一般这种病毒,都会有定时任务,可以再查一下定时任务。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
