记一次门罗币挖矿病毒处置

背景：

某客户被政务服务中心通报中了挖矿病毒，要求进行处置

现场处置：

1，发现通报的是一台CENTOS系统的服务器，发现有大量占用CPU资源的进程kheiper，看到这个进行直接就知道是门罗币的挖矿了，

2，寻找病毒文件，通过ps aux | grep kheiper，找到kheiper文件的进程ID,然后找到异常进程的文件所在位置，发现三个异常文件：kheiper、keeiper.cfg、nohup.out

   3，拿到kheiper文件到virustotal进行分析

通过virustotal分析MD5值发现该文件是门罗币挖矿病毒，并向多个矿池地址有访问登录记录，目前可以判断该服务器中了门罗币挖矿病毒。

   4，挖矿病毒清除

进入opt目录下，删除所有挖矿病毒文件，并删除自启动任务中的启动计划，通过全系统检查是否还存在kheiper文件，重启服务器后观察一段时间后也没有发现有异常程序启动和占用大量的系统资源。

  5，最后发现在启动任务里面还有启动计划，把启动计划相关内容清除干净

   6，处置还是比较顺利，刚好看到进程异常运行，直接通过进程寻找到病毒文件进行处置，不知道客户内网还有没有其他服务器有了，客户没提也就没协助查找，还是建议客户要上EDR啊！！