当前位置: 网站首页 -> 网络安全 -> 安全知识 -> 正文

安全知识

常见挖矿病毒处理方法

发布时间:2022-08-01 点击量:

一、常见病毒

1、病毒名称:qW3xT:

现象:占用超高CPU,进程查杀之后自启动。

2、病毒名称:Ddgs.3011

现象:占用超高CPU,进程查杀之后自启动。

3、病毒名称:S01wipefs

现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。

4、病毒名称:acpidtd

现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。

5、病毒名称:MSFC

现象:占用超高CPU及内存,病毒源文件单一,较容易查杀。

二、中毒基本现象

系统CPU占用接近100%;

https://img-blog.csdnimg.cn/20190809102852950.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

系统卡顿,执行基本命令响应缓慢;

系统出现异常进程,无法正常kill;

https://img-blog.csdnimg.cn/2019080910292292.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

系统内存异常,占用不稳定。

https://img-blog.csdnimg.cn/20190809102945938.png

三、基本分析过程

检查是否存在占用CPU较高的进程:

命令:ps –aux|sort –rn –k +3 |head

https://img-blog.csdnimg.cn/20190809103017603.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

检查是否存在占用内存较高的进程:

命令:ps –aux|sort –rn –k +4 |head

https://img-blog.csdnimg.cn/20190809103040620.png

检查是否有异常定时任务:

命令:crontab -l

检查是否有异常自启服务:

命令:ll /etc/rc.d/init.d

cat /etc/rc.local

检查是否有异常登录记录:

命令:last –a

四、病毒传播及生存原理

通过ssh暴力破解,U盘等物理介质,sql注入等形式将病毒源文件传播到服务器中,并以脚本,定时任务,自启动服务形式,执行挖矿程序,且kill之后能够再次启动。

如下:

https://img-blog.csdnimg.cn/20190809103115298.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

五、处理过程

以上涉及的所有病毒,基本上都可以通过以上方法定位,并通过以下步骤进行处理:

1)top检查可疑进程,pkill杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root和/etc/crontab和/etc/rc.lcoal

2)找到可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr修改权限后将其删除即可。

3)查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。

4)在防火墙关闭不必要的映射端口号,重启再测试是否还会有可疑进程存在。

六、结果验证

系统资源占用恢复正常:

https://img-blog.csdnimg.cn/20190809103140525.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

无病毒相关进程:

https://img-blog.csdnimg.cn/20190809103159689.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMxNDU3NDEz,size_16,color_FFFFFF,t_70

系统使用恢复正常,无明显卡顿:

不再自动生成异常定时任务:

https://img-blog.csdnimg.cn/20190809103221190.png

在/etc/rc*这些目录下,没有病毒相关异常文件:

https://img-blog.csdnimg.cn/20190809103237839.png

七、基本防护

1、建议配置login.defs文件。具体可参考如下:

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

PASS_MIN_LEN 8

PASS_WARN_AGE 7

FAIL_DELAY 10

2、配置pam.d/system-auth文件,具体可参考如下:

account required /lib/security/pam_tally.so deny=5 no magic_root reset。

password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8

3、建议创建其他管理账号,禁用root账号远程管理;

4、建议使用chmod命令修改rc3.d等文件权限,满足配置文件权限不能大于644,可执行文件不能大于755的原则。

5、建议系统部署支持统一管理的恶意代码防范软件,定期对服务器操作系统进行恶意代码扫描。

7、建议限制登录终端的操作超时锁定时间,具体可参考如下:

配置/etc/profile文件,添加TMOUT=300,超时退出参数。

8、配置/etc/hosts.deny和/etc/hosts.allow文件,限制终端登陆地址范围


原文链接:https://blog.csdn.net/qq_31457413/article/details/98942964