挖矿病毒排查思路

1、排查疑似恶意网络连接

目前挖矿病毒外联都是TCP连接，排查时可关掉所有正在运行的软件。

2、排查疑似恶意进程及文件

通过排查疑似恶意网络连接，定位到PID，通过PID反查恶意进程名

通过反查到的进程名反查进程文件所在位置

对于CPU飙高的情况，可直接在任务管理器排查CPU使用率高的进程

定位疑似恶意文件后，通过指定文件的病毒查杀、外联IP的威胁情况评估决定是否误报，确定恶意后可删除文件

在linux下查找三天内上传的jsp文件

find / -name ‘*.jsp’ -ctime 3

日志文件 筛选某一天的日志：天眼日志检索下拉框搜索

Windows登录失败对应的日志id

安全Security

4624，表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，表示登陆失败的用户，用来判断RDP爆破的情况。