linux 服务器发现了挖矿病毒

Posted 2022-12-30 ushowtime

1.发现病毒

近日，因为自己搭建的个人网站做了一版更新，准备去服务器做部署。连接服务器的时候明显感觉到消耗的时间比以往要久，半天才响应过来。

在测试网络没有问题之后，随即使用top命令看下进程情况，结果如下图所示

 

整齐划一的进程，且自己没有做过这样的部署。发现不对劲，于是马上使用kill命令干掉这些进程。神奇的事情发生了，这些进程就像不倒翁一样，几个kill命令过去它们又重新站了起来。

2.解决问题

于是立即将问题反映给了百度，得出结论，这是一个挖矿病毒 sysupdate

2.1定位病毒

1.使用top命令得出进程号（PID）

2.使用命令ls -l proc/进程号/exe得出文件位置

2.2清除病毒

1.使用 rm 命令直接删除，会发现提示无法删除，应该是使用了chattr命令将文件锁定了

使用命令： chattr -i 文件名  即可正常删除

2.在/etc/目录下还发现一个守护进程文件  /etc/update.sh 也一并删除了

3.检查是否还有免密登录的后门文件   /root/.ssh/authorized_keys 也一并删除

4.检查定时任务  crontab -l 将可疑任务清除

最后将服务器重启，检查是否还有异常

3.总结

此次挖矿病毒事件可能是由于redis服务未设置密码导致的，由于redis还没有正式投入到业务中，所以产生了这种疏忽。

这大概就是细节决定成败了。

安全无小事，希望大家都能避免此类问题的发生，发生也能够完好的解决。