挖矿事件
恶意域名
当发现挖矿事件时,优先确定恶意域名,对于这部分我们可以从几处来获取内网DNS服务器、DNS防火墙、流量审计等设备来获取。之后根据域名确定对应的木马类型, 我们可以根据域名来确定域名的类型.
- Virustotal
- 深信服情报威胁中心
- 微步在线
- venuseye
- 安恒威胁情报中心
- 360威胁情报中心
- 绿盟威胁情报中心
- AlienVault
- RedQueen安全智能服务平台
- IBM X-Force Echange
- ThreatMiner
为什么要确定恶意域名?
这是为了确定矿池
获取进程相关信息
- CPU 占用 : 一般来说挖矿进程的内存占用比较高
$ top -c -o %CPU
# CPU 占用前五的进程信息
$ ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5 - 内存占用
$ top -c -o %MEM
$ ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5 - 网络占用