此次复现挖矿清除不溯源，只是简单的记一下
样本放在了 知识星球 与 我的资源 中

一、事件复现

将bingdu.sh放在桌面，并且查看权限，发现有执行权限，接下来使用命令：./kibingdu.sh 运行该病毒

稍等一会儿后，病毒被成功执行

二、事件背景

某天打开我的服务器，发现CPU飙到100%。肯定有问题，应该又被挖矿了
服务器：Linux系统

三、事件处理

使用 top 命令，查看cpu占用情况，找到占用cpu的异常进程
发现是：PID为4452的kdevtmpfsi

根据上面的进程名查看与内网的 tcp 链接异常 ，看到陌生ip，查出为国外ip，估计被人植入后门与挖矿病毒

netstat -anpt | grep 4452

使用命令kill -9 4452 删除异常挖矿程序
但是过了一会儿又自动启动了

又重新启动了，PID为6354

猜测是有定时任务

查看定时任务：crontab -l 果然发现了，异常定时任务，每隔一分钟自动取195.3.146.118下载unk.sh文件 并执行

那么就终止异常进程、删除定时任务：

kill -9 6354
crontab -l

本以为就这么轻松的解决了，没想到过一会儿，COU又飙起来了，196.3%，出现一个PID为6651的异常进程

猜测肯定还有守护进程，查看守护进程

systemctl status 6651

执行命令后往下翻，查找6651相关的信息，发现了PID 为4423的守护进程，以及6651异常程序的地址:/tmp/kinsingxxx.sh

先找到 kinsingXXX.sh 异常文件的位置

pa aux |grep kinsin

发现三个异常进程，以及文件位置：/tmp/kinsing

接下来清除异常进程，删除异常文件

kill -9 4423
kill -9 6329

cd /tmp
rm -rf kinsing
rm -rf kdevtmpfsi

之后查看系统的网络连接

netstat -anpt

发现仍旧还有可以连接

接下来查看可以连接的文件位置

ps aux | grep 6712

发现文件在/tmp/kinsing 在tmp中查看并无此文件，可能只是进程没有关闭而已

使用命令关闭异常进程

kill -9 6712

再次查看网络连接，已无问题

更多web安全工具与存在漏洞的网站搭建源码、病毒样本，收集整理在知识星球。