2024.12.18

大早上起来一看，母鸡cpu占用51%，立马觉得不对劲

连上母鸡一看进程

有一个XMRig的进程一直在占用cpu，通过bing得知是一个挖矿程序

输入

who /var/log/wtmp

发现没有可疑的ssh连接

通过查看进程发现是这个目录/etc/xmrig-6.21.3/golang

ll /proc/{pid}/fd #排查下pid关联的文件 -> 没啥收获

netstat -tunap | grep {pid} #查看网络链接

发现在与38.47.105.86:44444通讯

kill -9 {pid} #先结束掉这个进程
crontab -l #检查下有没有可疑的定时任务

没有发现可疑的任务啥的

cd /etc/xmrig-6.21.3/golang #进入到这个目录

发现了三个文件（忘记截图了）

打开一个.json文件里面有相关的参数

"url": "goldener.top:44444",
"user": "4APgkDLBU9tKajDjVkqifqSUJovYpbjQZNLAVLuZAbwu8DecamfWBf2GqQ288DYMR65wP7RYAd1LCfJKNEfAAbpQRmBRvvi",
"pass": "goldener",

发现了👆的信息

没有发现其他东西，我们直接删除掉这个目录

rm -rf /etc/xmrig-6.21.3

观察了半个小时，cpu终于正常了 也没自启动啥的

目前我还是技术小白无法做到溯源相关信息就放这了

goldener.top:44444
38.47.105.86:44444