常見挖礦病毒處理方法
1、常見病毒
病毒名稱:qW3xT:
現象:佔用超高CPU,進程查殺之後自啓動。
中毒案例:(……)
2、病毒名稱:Ddgs.3011
現象:佔用超高CPU,進程查殺之後自啓動。
中毒案例:(……)
3、病毒名稱:S01wipefs
現象:佔用超高CPU,無定時任務,但是病毒源文件存放在較多位置,比較難清除乾淨。
中毒案例:(……)
4、病毒名稱:acpidtd
現象:佔用超高CPU,無定時任務,但是病毒源文件存放在較多位置,比較難清除乾淨。
中毒案例:(……)
5、病毒名稱:MSFC
現象:佔用超高CPU及內存,病毒源文件單一,較容易查殺。
中毒案例:(……)
2、中毒基本現象
系統CPU佔用接近100%;
系統卡頓,執行基本命令響應緩慢;
系統出現異常進程,無法正常kill;
系統內存異常,佔用不穩定。
3、基本分析過程
檢查是否存在佔用CPU較高的進程:
命令:ps –aux|sort –rn –k +3 |head
檢查是否存在佔用內存較高的進程:
命令:ps –aux|sort –rn –k +4 |head
檢查是否有異常定時任務:
命令:Crontab -l
檢查是否有異常自啓服務:
命令:ll /etc/rc.d/init.d
Cat /etc/rc.local
檢查是否有異常登錄記錄:
命令:last –a
4、病毒傳播及生存原理
通過ssh暴力破解,U盤等物理介質,sql注入等形式將病毒源文件傳播到服務器中,並以腳本,定時任務,自啓動服務形式,執行挖礦程序,且kill之後能夠再次啓動。
如下:
5、處理過程
以上涉及的所有病毒,基本上都可以通過以上方法定位,並通過以下步驟進行處理:
1)top 檢查可疑進程,pkill 殺死進程,如果進程還能存在,說明一定有定時任務或守護進程(開機啓動),檢查/var/spool/cron/root 和/etc/crontab 和/etc/rc.lcoal
2)找到可疑程序的位置將其刪除,如果刪除不掉,查看隱藏權限。lsattr chattr 修改權限後將其刪除即可。
3)查看/root/.ssh/目錄下是否設置了免祕鑰登陸,並查看ssh_config配置文件是否被篡改。
4)在防火牆關閉不必要的映射端口號,重啓再測試是否還會有可疑進程存在。
以上提及的所有病毒查殺方法如下附件:
6、結果驗證
系統資源佔用恢復正常:
無病毒相關進程:
系統使用恢復正常,無明顯卡頓:
不再自動生成異常定時任務:
在/etc/rc* 這些目錄下,沒有病毒相關異常文件:
7、基本防護
1、建議配置login.defs文件。具體可參考如下:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
FAIL_DELAY 10
2、配置pam.d/system-auth文件,具體可參考如下:
account required /lib/security/pam_tally.so deny=5 no magic_root reset。
password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8
3、建議創建其他管理賬號,禁用root賬號遠程管理;
4、建議使用chmod命令修改rc3.d等文件權限,滿足配置文件權限不能大於644,可執行文件不能大於755的原則。
5、建議系統部署支持統一管理的惡意代碼防範軟件,定期對服務器操作系統進行惡意代碼掃描。
7、建議限制登錄終端的操作超時鎖定時間,具體可參考如下:
配置/etc/profile文件,添加TMOUT=300,超時退出參數。
8、配置 /etc/hosts.deny和/etc/hosts.allow文件,限制終端登陸地址範圍
針對每種病毒的特性,也有相應的防護方法,具體請參照以下內容防護部分。
