分析挖矿病毒

前言

8月13日一早接到负责公司内服务器的IT工程师提醒，测试环境有2台服务器CPU飙得超高，让检查下

发现是2019年7月份搭建的mysql集群和redis集群测试服务器，先运行top检查进程，发现有个程序占了服务器8C的580%，几乎完全把CPU核心占满了

第一直觉是挖矿病毒，然后根据进程名称查了下百度，有一个人在CSDN发了一个咨询贴，正好碰到的一模一样，可以100%确认是挖矿病毒了

杀死病毒进程，防止有守护进程或定时任务，深入清理，去掉crontab并确认30分钟内没重新加载挖矿进程

定时任务分析脚本，发现是个外服挂马asp脚本，内容是bash shell，shell先整理适合病毒的环境，然后清理入侵的痕迹，下载已经编译好的挖矿二进制主程序并启动

卸载云盾产品，分析known_hosts里面连接过的服务器ip，扫描id_rsa.pub, 这是准备感染连接过的所有服务器。。。

把其他服务器都排查下，只有另外一台备机也中毒了，其他服务器正常

不过已经被清理的痕迹日志没法恢复了

linux C 二进制的，只能分析到header信息，没法反编译了，这需要汇编精通的大神了。。。只能看看头部信息

弱口令，内网机房服务器应用弱口令导致