Linux中挖矿病毒清理通用思路

这篇具有很好参考价值的文章主要介绍了Linux中挖矿病毒清理通用思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

前言

清理流程

检查修复DNS

停止计划任务

取消tmp目录的可执行权限

服务排查

进程排查

高CPU占用进程查杀

计划任务清理

预加载劫持清理

系统命令变动排查

中毒前后可执行文件排查

系统配置文件排查

小结

前言

在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行

清理流程

注:命令均在busybox工具下执行

检查修复DNS

挖矿病毒有时候为了防止访问不到矿池或者代理,往往会修改dns记录,故可以先查看“/etc/resolv.conf”文件内容情况

停止计划任务

为了做到持久化控制,在攻击者权限足够的情况下,往往会写计划任务项,达到持续执行挖矿脚本的目的,为了清理过程中不会再都执行挖矿脚本,先把定时任务服务停止。

    chattr -R -ai /etc/ &>/dev/null  #去除文件不可修改权限
    systemctl stop crond #centos为crond,ubuntu为cron
    systemctl stop atd
    pkill crond 
    pkill atd

取消tmp目录的可执行权限

攻击者为了方便,往往会把运行脚本隐藏在tmp目录下,但是我们清理过程中,如果怕误删或者不清楚哪些是恶意文件的话,可以直接取消tmp目录下所有文件的可执行权限

chattr -R -ai /tmp/ /var/tmp/ /dev/shm/
chmod -R -x /tmp/ /var/tmp/ /dev/shm/

服务排查

正常情况下,服务器所起的系统服务是不会变动的,可以排查中挖矿病毒前后系统服务的变动情况,排查确认异常后可将服务停止,并将文件打包移走

find /etc/systemd/system/ -mtime -近期变动时间 -type f
chattr -ia filename #filename为近期找到的变动过的服务文件
systemctl stop 服务名 #停止服务
systemctl disable 服务名

进程排查

查看所有进程的信息,排查”/proc/pid号/exe” “/proc/pid号/cmdline” ,检查进程的启动命令,已经引用的exe软连接的真实路径。其中如果/proc/pid号/exe”中调用了/bin/bash,(deleted),/tmp/ 都是可疑,有必要排查是否是异常项

高CPU占用进程查杀

中挖矿病毒的一个重要特征就是cpu占用率会非常高,当然一些挖矿病毒为了更好的隐藏自己当老6,会控制cpu的占用率,比如维持在50%以下,同时很多时候我们如果不用busybox的话,top命令等都是看不到有高占用cpu的进程的。

这里可以使用htop,busybox的top命令查看是否高占用cpu的进程,同时通过进程号可查看“/proc/pid号/cmdline”判断是否是异常进程,确认后使用kill命令终止挖矿进程即可

计划任务清理

最开始的时候我们只是停止了计划任务服务,但是并没有对计划任务文件进行清理,这里对计划任务进行清理,一个简便的方法就是查看中挖矿前后发生变动的计划任务文件,这些都是可疑的。

#计划任务目录
("/etc/crontab" "/var/spool/cron/" "/etc/cron.d/" "/etc/cron.daily/" "/etc/cron.hourly/" "/etc/cron.monthly/" "/etc/cron.weekly/" "/etc/init.d" "/etc/rc.d/" "/etc/rc.local")

#排查这些目录中近期发生过变动的文件
find 计划任务目录 -type f -mtime 中病毒前后时间

预加载劫持清理

挖矿有时候为了隐藏自己,会对系统的预加载配置进行修改,让执行的命令加载恶意的so文件,这里需要对这些文件进行清理(注:不确定的时候不要随便清除,如果是劫持的系统自身的so文件,最后找个干净系统的so文件替换)

检测预加载文件,用busybox命令查看
cat /etc/ld.so.preload   #这个文件默认是空的和不存在的,如果有内容并且确认不是管理员的操作话,那么这个so文件就有问题

系统命令变动排查

一直有说到,挖矿为了隐藏自己,有时候会修改系统命令,让我们排查的时候看不到它,这里通过时间排查挖矿后被变动过的系统命令(一般这个命令文件是不会有变动,故变动过的都是可疑的)

cat $PATH  #环境变量下目录
find 环境变量目录 -type -executable -mtime -中病毒前后时间
chattr -ai -R 环境变量目录 #解除环境变量目录不可修改权限,之后对异常命令打包清理

中毒前后可执行文件排查

正常情况下,系统的可执行文件基本是不会变动,基本不会有新增,那中挖矿时间前后变动的可执行文件都是可疑,需要进一步排查清理。

find /etc /tmp /user/ /root /var /lib /dev/shm -maxdepth 3 -mtime -挖矿前后时间 -type f -executable

系统配置文件排查

由一些病毒会对系统配置文件进行修改,这里对这些配置文件操作需要慎重,需确认的确是异常后再清理。

系统配置文件目录:/etc/profile /home/用户名/.bash_profile /home/用户名/.bashrc /home/用户名/.profile
find 系统配置文件目录 -type f -mtime -中病毒前后时间

小结

清理到这里,病毒以及残留文件已经清理干净了,后续的就是重新开启定时任务,重新安装系统命令,恢复dns配置文件,排查入侵原因文章来源地址https://www.toymoban.com/news/detail-690492.html

到了这里,关于Linux中挖矿病毒清理通用思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记·Linux挖矿病毒应急响应

    朋友说他的机器被用来挖矿了,叫我帮他处理一下,正好锻炼锻炼应急响应能力。 top查看cup发现占用300%,确实是被用来挖矿了。 查看异常进程9926的pid端口,发现为空查找不到连接情况,怎么回事? 查看全部端口网络连接,发现pid被清除了,但是本地有异常端口连接情况,

    2024年02月13日
    浏览(52)
  • 挖矿病毒应急响应思路,挖矿病毒事件处理步骤

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 比特币系统每隔一段时间就会在节点上生成一个 「随机代码」 ,互联网中的所有设备都可以寻找这个代

    2024年02月10日
    浏览(48)
  • linux中了挖矿病毒详细解决方案

    阿里云服务器无意间CPU直线飙升接近100%,通过TOP查看CPU暂用情况,未发现异常,然后感觉肯定是中了挖矿病毒了。一下是搜索了很多资料总结的解决方案,希望对遇到这些问题的人员有个好的帮助。 目录 1、通过TOP查看未发现异常情况,肯定是病毒隐藏了进程 2、删除之后通

    2024年02月05日
    浏览(79)
  • 【安全】查杀linux隐藏挖矿病毒rcu_tasked

    这是黑客使用的批量蔓延病毒的工具,通过如下脚本 /root/.cfg/目录下的病毒源文件 目前未查清楚原文件是通过隐藏在什么程序中带过来的,这是一大遗憾 中毒现象提现未cpu占用100%,且通过top、netstat、ps等命令找不到进程号 挖矿的矿池IP,全是国外的IP,大概看了一下,基本

    2024年04月15日
    浏览(39)
  • 黑客利用F5 BIG-IP漏洞传播Linux挖矿病毒

    F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 近日,F5的安全公告更新了BIG-IP,BIG-IQ中的多个严重漏洞,建议广大用户及时将F5 BIG-IP/BIG-IQ升级到最新版本,最新版本下载地址: https://support.f5.com/csp/article/K02566623,漏洞

    2024年02月20日
    浏览(52)
  • 【安全】查杀linux上c3pool挖矿病毒xmrig

    挖矿平台:猫池 病毒来源安装脚本 旷池提供的卸载脚本 高cpu和高内存占用 kill -9 杀掉之后自动重启 进程ip:47.76.163.177 为美国IP,IP查询 查找病毒脚本位置 find / -name xmrig 检查是否有相关的定时任务 如果有定时任务则删除掉 查找自启动服务 因为kill -9杀掉进程之后会立即重启

    2024年04月22日
    浏览(33)
  • 服务器挖矿病毒怎么解决

    挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。

    2024年02月16日
    浏览(50)
  • 记一次服务器被挖矿的排查过程:xmrig挖矿病毒

    【阿里云】尊敬的aliyun98****8825: 经检测您的阿里云服务(ECS实例)i-0jl8awxohyxk****axz5存在挖矿活动。根据相关法规、政策的规定,请您于2023-07-18 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。 若您有其他问题,可登陆阿里云官网在

    2024年02月11日
    浏览(50)
  • 服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案

    01 什么是挖矿病毒 挖矿病毒通常是恶意软件的一种,它会在受感染的系统上无授权地挖掘加密货币。关于\\\"syst3md\\\",是一种特定的挖矿病毒,它通过在受感染的Linux系统中执行一系列复杂操作来达到其目的。这些操作包括使用 curl 从网络下载病毒并执行,随后删除病毒文件以隐

    2024年03月19日
    浏览(40)
  • Linux CentOS 服务器清理磁盘空间

    首先根目录下使用[df -ah]命令查询磁盘空间占用情况。 发现[/根目录]下面磁盘占用100% 进入根目录,查询大文件与目录 查看GB以上文件夹目录并且排序,可以使用以下命令: 然后不断执行上面的过程,进入大文件目录,定位到大文件 我这里最终找到是Tomcat下面logs日志占据了20多

    2024年02月05日
    浏览(71)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包