title:在网络安全区域一年一度的分叉行动的前期准备过程中,对丢失的主机进行了现场监控和处置,概述了Mac开采病毒的处置。 通过态势感知,发现某终端主机每5分钟向矿池(43.249.204.183:8888 )发出连接请求的情况,态势报告开采行为。
但系统运行正常,没有开采行为。 虽然感染了采掘病毒,但我推测是什么原因,是一直没能连接到采掘场的原因吧。
在故障排除的过程中,把机器带来得到的是Mac。 首先,使用本机的“趋势大师检查了一次”,果然得到了结果:
调查了ssl3.plist文件的相关信息,实际上用锤子挖了采掘病毒程序:
我在考虑用趋势大师直接杀,但我想得太多了。 它只告诉你有这个文件,但不会告诉你它在哪里。 你想直接删除文件吗? 对不起,是收费的!
为此,我们将从始至终展开病毒的故障诊断和处置。
要查找进程和文件,请首先使用top命令检查计算机的运行状况。 没有确认写有ssl3.plist、ssl4.plist的程序正在运行。
(这里应该有图,但是忘记拍截图了)
每5分钟请求一次态势报告,根据是否存在相关进程,推测是否应该每5分钟打开一次进程,并尝试长时间循环占用8888端口的进程。
找到进程号5666的正在进行的8888端口,根据进程号检索程序的文件。
找到了文件的位置。 请确认文件夹相关的内容。
包含cpu.txt、pools.txt、ssl3.plist和ssl4.plist等文件。
文件删除结束删除进程病毒相关文件。 基尔放慢了进程。 这里应该有图,但是我忘了。 )
通常,启动项目中也应该注入相关病毒文件。 启动项目文件夹:~/Library/LaunchAgents表明仍然存在格式为ssl3.plist、ssl4.plist的文件,并删除相关文件。
病毒文件监控继续进行,进程已终止。 此后,继续监视8888端口进程未发现相关进程重新启动。
于是关机开机,监视了一会儿,所有地方都正常。
物归原主。
播放盘关于ssl3.plist、ssl4.plist ssl3.plist、ssl4.plist其实都是xmr-stak-rx,xmr-stak是集成了CPU、GPU开采的工具,是最初的xmm
故障诊断中使用的指令top //查看计算机的动作状态
查看占用lsof-I :端口//端口的流程
查找PSaux|grepSSL//SSL表示法的过程
文章: https://www.tr0y.Wang/2020/03/05/MAC OS的ssl4.plist采掘病毒故障诊断记录/