linux服務(wù)器挖礦病毒處理方案

linux服務(wù)器挖礦病毒處理方案

Linux服務(wù)器挖礦病毒處理

情況說明：挖礦進(jìn)程被隱藏（CPU占用50%，htop/top卻看不到異常進(jìn)程），結(jié)束挖礦進(jìn)程后馬上又會運(yùn)行起來（crontab -l查看發(fā)現(xiàn)沒有定時任務(wù)）。

1、中毒表現(xiàn)

服務(wù)器是24核的，前12核的CPU占用一直處于100%，即使重啟服務(wù)器，馬上就會占用12核的CPU，并且系統(tǒng)內(nèi)存占用也很大。中毒表現(xiàn)有如下幾點(diǎn)：

? 在沒有使用軟件的情況下，CPU使用率很高（使用top或者h(yuǎn)top查看系統(tǒng)內(nèi)存占用情況）。

? 通過netstat -natp發(fā)現(xiàn)有異常IP地址。

? 發(fā)熱極其嚴(yán)重，風(fēng)扇狂轉(zhuǎn)。

? 服務(wù)器莫名其妙突然卡頓。

2、解決辦法

2.1 斷網(wǎng)并修改root密碼

在發(fā)現(xiàn)中了挖礦病毒后，一定要首先斷網(wǎng)并修改root密碼?。?！

2.2 找出隱藏的挖礦進(jìn)程

這里利用兩個工具【sysdig】和【unhide】來搜尋被隱藏的進(jìn)程。

# 安裝 sysdig
sudoapt install sysdig
# 安裝 unhide
sudoapt install unhide

# 輸出cpu占用的排行，可以顯示出隱藏的進(jìn)程
sudosysdig -c topprocs_cpu

# 搜索隱藏進(jìn)程，proc目錄下保存的是所有正在運(yùn)行程序的進(jìn)程ID，即PID
sudounhide proc

這時就找到了挖礦病毒的PID，但是直接kill -9 PID殺死進(jìn)程后就會發(fā)現(xiàn)不到1分鐘的時間，就會有一個新的挖礦進(jìn)程出現(xiàn)，因此這個挖礦進(jìn)程肯定是被什么服務(wù)所啟動的，接下來我們便需要找到這個服務(wù)并將其關(guān)閉。

2.3 關(guān)閉病毒啟動服務(wù)

通過上面unhide proc發(fā)現(xiàn)的隱藏進(jìn)程，利用systemctl status PID來檢查 systemd 管理的服務(wù)或者進(jìn)程狀態(tài)，來看一下該病毒到底是如何被啟動的。

`systemctl status 3084# 3084為病毒的PID`

查看輸出的CGroup段信息，可以看到一個后綴為.service的服務(wù)，該服務(wù)就是病毒的啟動服務(wù)。

# 終止病毒啟動服務(wù)
systemctl stop xxxxX.service
# 終止挖礦服務(wù)的開機(jī)自啟
systemctldisablexxxxX.service

2.4 殺掉挖礦進(jìn)程

在關(guān)閉了挖礦病毒的啟動服務(wù)之后，現(xiàn)在就可以將挖礦進(jìn)程kill了。kill之后，CPU恢復(fù)正常，并且也沒有了隱藏進(jìn)程。

`kill-9 PID`

3、防止黑客再次入侵

3.1 查找異常IP

# 通過 netstat -natp 顯示網(wǎng)絡(luò)相關(guān)信息，查看是否存在異常IP
netstat -natp

將查到的異常IP直接在百度中輸入就可以看到該IP的一些信息。

3.2 封禁異常IP

利用防火墻 iptables 對異常IP進(jìn)行封禁。

# 對異常IP封禁
sudoiptables -I INPUT -s IP -j DROP
# 檢查是否已經(jīng)成功添加
iptables -L INPUT -v -n

默認(rèn)情況下，通過iptables添加的規(guī)則在系統(tǒng)重啟后會丟失。如果希望規(guī)則在重啟后依然有效，需要將規(guī)則保存到配置文件中?？梢允褂胕ptables-persistent工具來實現(xiàn)。

# 安裝iptables-persistent
sudoapt-get install iptables-persistent
# 將規(guī)則保存到配置文件
sudonetfilter-persistent save
# 設(shè)置為開機(jī)自啟
systemctlenableiptables
# 打開服務(wù)
systemctl start iptables

3.3 查看是否有陌生公鑰

`cat~/.ssh/authorized_keys`

如果有陌生公鑰立即刪掉。

4、安裝安全狗進(jìn)行防護(hù)

安裝說明請查看官網(wǎng)地址

操作手冊

以下是安全狗安裝成功后的ui界面。

5、Linux病毒掃描工具ClamAV

https://www.moewah.com/archives/5296.html

Cla-mAV 是一款開源的防病毒引擎，用于檢測各類惡意軟件。其特色是提供命令行掃描，定制病毒數(shù)據(jù)庫更新，以及對新病毒的快速反應(yīng)。適用于各種系統(tǒng)，包括 Win-dows、Mac 以及 Linux 等。本教程將指導(dǎo)你如何安裝、配置和使用 Cla-mAV 的主要功能。

5.1安裝

對于 De-bian/Ubuntu 系統(tǒng)，使用以下命令安裝：

sudoapt-get update
sudoapt-get install clamav clamav-daemon

對于 Cen-tOS/RHEL 系統(tǒng)，使用以下命令安裝：

sudoyum install epel-release
sudoyum install clamav clamav-update

5.2 配置

完成安裝后，必須更新 Cla-mAV 的病毒數(shù)據(jù)庫。這將幫助 Cla-mAV 識別并抵御最新的威脅。可以使用以下命令進(jìn)行更新：

`sudofreshclam`

5.3 使用

以下是 Cla-mAV 關(guān)于clamscan命令常見使用示例，更多用法請運(yùn)行clamscan -help查看幫助文件：

# 掃描單個文件
clamscan /path/to/your/file

# 掃描整個目錄
clamscan -r /path/to/directory

# 自動刪除檢測到的病毒
clamscan --remove -r /path/to/directory

# 為掃描結(jié)果生成報告
clamscan -r /path/to/directory > scanreport.txt

# 在掃描時顯示病毒被發(fā)現(xiàn)的信息
clamscan -r --bell -i /path/to/directory

clamdscan是 Cla-mAV 防病毒服務(wù)器clamd的客戶端，用于與后臺持續(xù)運(yùn)行并加載病毒數(shù)據(jù)庫的clamd進(jìn)行交互以執(zhí)行病毒掃描，使得頻繁或大規(guī)模的掃描任務(wù)更加高效。

如果要使用 Cla-mAV 守護(hù)進(jìn)程clamdscan命令進(jìn)行掃描，首先確保守護(hù)進(jìn)程已啟動：

`sudo systemctlstartclamav-daemon`

接下來，使用clamdscan命令執(zhí)行掃描，例如：

`clamdscan /path/to/your/file`

或

`clamdscan -r /path/to/your/directory`

多線程遞歸掃描目錄文件，同時會傳遞文件描述符：

`clamdscan --multiscan --fdpass /path/to/scan`

其他補(bǔ)充

6、安全狗安裝缺少命令組件解決方案

Need system command 'locate' to install safedog for linux.Installation aborted!

是缺少搜索命令組件，用下面命令進(jìn)行安裝

`yum -y install mlocate`

Need system command 'lspci' to install safedog for linux.Installation aborted!

用下面命令進(jìn)行安裝

`yum -y install pciutils`

Need system command 'lsof' to install safedog for linux.Installation aborted!

用下面命令進(jìn)行安裝

`yum install lsof`

Need system command 'netstat' to install safedog for linux.Installation aborted!

用下面命令進(jìn)行安裝

`yum install net-tools`

Need system command 'killall' to install safedog for linux.Installation aborted!

用下面命令進(jìn)行安裝

`yum install psmisc`

7、Linux——“沒有可用軟件包”

在CentOS 7上，當(dāng)使用yum命令安裝軟件包時，如果出現(xiàn)“沒有可用的軟件包”提示，這通常意味著yum源中已經(jīng)沒有對應(yīng)的安裝包了。

解決方法——>安裝epel-release軟件包

`yum install-y epel-release`

8、linux系統(tǒng)上安裝sysdig

sysdig是一個超級系統(tǒng)工具，比 strace、tcpdump、lsof 加起來還強(qiáng)大。可用來捕獲系統(tǒng)狀態(tài)信息，保存數(shù)據(jù)并進(jìn)行過濾和分析。

在linux系統(tǒng)上安裝sysdig可以一鍵式安裝：

`curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig| sudo bash`

這是一個在線的自動安裝工具，是一個 shell 腳本，會識別常用的 linux 發(fā)行版本，并根據(jù)對應(yīng)的版本配置源，最后是安裝 Sysdig 包。

測試是否安裝成功：

`sysdig -pc -c topconns`

出現(xiàn)以下信息，說明安裝正確：