服务器挖矿进程记录

记录服务器上出现过的可以进程,挖矿进程。

虚假[migration进程]

现象: top -c命令查看到一个进程名为[migration]的进程,占用了400%的处理器。看似是系统进程,但是进程号很高,很可疑。
可疑进程

检查: lsof -p $pid查看到如下进程进程信息

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@localhost ~]# lsof -p 32403
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
[migratio 32403 root cwd DIR 8,1 4096 2 /
[migratio 32403 root rtd DIR 8,1 4096 2 /
[migratio 32403 root txt REG 8,1 1253624 401222 /usr/bin/[migration] (deleted)
[migratio 32403 root mem REG 8,1 156936 261670 /lib64/ld-2.12.so
[migratio 32403 root mem REG 8,1 1926760 261672 /lib64/libc-2.12.so
[migratio 32403 root mem REG 8,1 65928 261661 /lib64/libnss_files-2.12.so
[migratio 32403 root 0r FIFO 0,8 0t0 4530871 pipe
[migratio 32403 root 1w CHR 1,3 0t0 3772 /dev/null
[migratio 32403 root 2w CHR 1,3 0t0 3772 /dev/null
[migratio 32403 root 3r REG 8,1 755 1570556 /var/cache/anacron
[migratio 32403 root 4u IPv4 4533256 0t0 TCP localhost:42990->xmr-tmp6.crypto-pool.fr:https (ESTABLISHED)

分析: 进程的可执行文件已经被删除,很可疑。进程链接到了域名:https://xmr-tmp6.crypto-pool.fr 。Google了这个域名后,发现有人反馈其遇到过的一个问题,一个挖比特币进程,运行后也会链接到该域名,http://www.herdprotect.com/gen64.exe-9df28903fd4014286a774471b2c056f9af0489d5.aspx 。因此判断该进程是挖比特币的进程。
域名信息反馈