Linux下挖矿病毒解决记录

Posted ColdSmog

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux下挖矿病毒解决记录相关的知识,希望对你有一定的参考价值。

一、病毒特征(sysupdate、networkservice)

内存占用率极高,使用top指令,%CPU下占用内存的程序为sysupdate、networkservice
查看定时任务日志,可观察/etc/update.sh反复运行

more /var/log/cron log | grep "update"
# 日志输出下面的语句
Jun 22 09:00:02 localhost CROND[23069]: (redis) CMD (sh /etc/update.sh >/dev/null 2>&1)

二、病毒入侵漏洞

病毒为挖矿病毒,利用Redis的未授权访问漏洞进行攻击。
Redis 默认配置为6379端口无密码访问,如果redis以root用户启动,攻击者可以通过公网直接链接redis,向root账户写入SSH公钥文件,以此获取服务器权限注入病毒。

三、杀毒

1. 命令行直接输入top语句,获取病毒的PID.

2. 查看病毒文件地址

# 输入 ls -l /proc/#{病毒PID}/exe 
# 或者输入 systemctl status #{病毒PID}
# 关注CGROUP显示的文件

技术图片

3. 杀死病毒进程

kill -9 #{病毒PID}

4. 将病毒文件解除锁定并删除

# 解除锁定 chattr -i #{文件名}
# 删除文件 rm -rf #{文件名}
# 文件名: /etc/sysupdate  /etc/sysupdates /etc/update.sh /etc/config.json /etc/sysguard /etc/networkservice

5. 解除SSH公钥后门

# 解除锁定
chattr -i /root/.ssh/authorized_keys
# 编辑权限
chmod 777 /root/.ssh/authorized_keys
# 清空authorized_keys
vi /root/.ssh/authorized_keys
# 清空后恢复权限
chmod 400 /root/.ssh/authorized_keys
# 锁定authorized_keys
chattr +i /root/.ssh/authorized_keys
# 防止通过重命名.ssh文件夹绕过设置
chattr +i /root/.ssh

6. 堵上Redis的漏洞

自行选择解决方案:

  • 更改redis访问端口
  • 设置redis密码
  • 以低权限运行 Redis 服务。


以上是关于Linux下挖矿病毒解决记录的主要内容,如果未能解决你的问题,请参考以下文章

记一次手动清理Linux挖矿病毒

Weblogic漏洞挖矿病毒解决方法

linux 服务器被植入ddgsqW3xT.2挖矿病毒处理记录

解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题

linux挖矿病毒kthreaddk横行,如何灭掉它?

linux挖矿病毒kthreaddk横行,如何灭掉它?