挖矿程序 紧急

告警描述:检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见CPU占用飙高,以及其它相关的恶意程序。

异常事件详情
提示:在您的系统磁盘上发现了可疑文件,建议您先确认文件合法性并进行处理。

文件路径:/var/lib/pgsql/.configrc5/a/kswapd0

恶意文件MD5:581836503fc2a177bb0d3a7e995a84d6

恶意文件SHA256:e047fe67541949c3d01acb0dbb47b5aee66d0aa930deb05e6eb78cb9b46fd815

扫描来源方式: 进程启动扫描

检测方式:云查杀

进程ID: 3256

进程命令行: ./kswapd0

文件创建用户: N/A

文件修改时间: 2024-09-12 19:24:38

样本家族与特征:Miner:Linux/CoinMiner

描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。

处置建议: 如果您确认该文件不是业务所需文件,建议点击【处理】->【结束进程并隔离文件】->【立即处理】将终止恶意进程并隔离恶意文件
如果您确认该文件是业务文件,是误报,建议点击【处理】->【加白名单】->【立即处理】,后续将不会产生该文件告警
如果您选择手动自行删除文件,请您在删除前对比主机文件和告警的恶意文件 MD5 是否一致,以免误删

源文件下载:下载

事件说明

检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见CPU占用飙高,以及其它相关的恶意程序。


执于代码
1 声望0 粉丝