差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

后一修订版		前一修订版
linux:linux问题排查:linux-挖矿软件排查步骤 [2026/01/29 09:05] – 创建 ctbotslinux:linux问题排查:linux-挖矿软件排查步骤 [2026/01/29 09:11] (当前版本) – [使用审计功能,找到元凶] ctbots
行 34: 行 34:
 </code> </code>
  
-我们选择一些内容监控+我们选择一些内容监控 【使用完之后,记得关闭所有规则】
 <code bash> <code bash>
 # 监控udp请求,主要是看 53端口的DNS请求; 后续可以通过 dns_udp 名称过滤 # 监控udp请求,主要是看 53端口的DNS请求; 后续可以通过 dns_udp 名称过滤
行 56: 行 56:
  
 </code> </code>
 +
 +如下的内容,就是一段 挖矿软件的审计信息
 +
 +/dev/shm/netools (deleted) 一个不存在的文件,进程号 4087120 , 尝试进行挖矿通信; 如果我们去 ls /proc/4087120  不要被骗了, /proc目录内容被改了,直接 kill -9 4087120 
 +
 +<code html>
 +type=SYSCALL msg=audit(01/26/26 15:09:29.931:51660383) : arch=x86_64 syscall=connect success=no exit=EINPROGRESS(Operation now in progress) a0=0x15 a1=0x7fe11a13cb80 a2=0x10 a3=0x0 items=0 ppid=1 
 +pid=4087120 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=95231 comm=netools exe=/dev/shm/netools (deleted) key=network_trace
 +</code>
 +