挖矿病毒的处理

前阶段生产服务器又中挖矿病毒了,紧急处理了一波

现象

执行 top命令,查看哪里cpu占用较高

CPU 彪满下不来

解决

1、杀掉进程 kill -9 pid

2、但是,过一会又不行了,说明有定时任务在定时执行这个病毒

3、先找到病毒文件,删掉

find / -name "xmrig"

4、删掉c3poo整个文件夹

cd /home/tomcat

rm -rf c3pool

5、全局再找找还有没有 find / -name c3pool/

6、检查隐藏文件和目录,避免漏网之鱼

复制代码
# 这些可能是病毒的一部分
find / -name ".*" -print

还没完

一会,又回来了。 以上操作只是把病毒文件删了,但是任务还没删,一会还会回来

1、检查定时任务

复制代码
# 查看当前用户的cron任务
crontab -l

# 检查cron服务的状态
systemctl status cron
# 或者老系统执行
service cron status

# 查看 cron 日志
cat /var/log/cron

现象:

crontab -l 发现没有定时任务,状态也正常

但是,cron 日志却一直有任务,说明被隐藏了

继续放大招

检查所有用户的Crontab任务

即使您已经检查了当前用户的cron任务,病毒也可能在其他用户的cron任务中设置了定时执行。使用以下命令来查看系统上所有用户的cron任务:

复制代码
for user in $(getent passwd | cut -f1 -d:); do echo $user; crontab -u $user -l; done

卧槽你妈,真 TM 有,藏得够深

解决

1、删除cron任务:

复制代码
# 删除用户 tomcat 的cron任务,这些任务负责重新下载和运行xmrig挖矿脚本。
crontab -u tomcat -r

2、删除下载的脚本和相关文件

根据crontab中的输出,需要删除以下文件:

定时下载的脚本:这通常位于 /tmp 目录下,可能需要根据实际文件名进行搜索。

/home/tomcat/.ssh/miner.sh:这是系统启动时运行的脚本。

复制代码
rm -f /tmp/*setup_c3pool_miner.sh
rm -f /home/tomcat/.ssh/miner.sh

如果出现无法删除文件的报错

复制代码
# 先解锁下文件再删除下
chattr -ia 文件名

rm -r 文件名

其他

  • 如果杀不掉 PID,可查找进程数杀父进程开始: pstree -p | grep 6386

Linux 主机安全加固

如下是华为云工单提供的解决方案

  1. 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上;将主机登录方式改为秘钥登录彻底规避风险:
  1. 严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。

禁止不必要的端口直接暴露在公网,设置防火墙规则或配置安全组策略来禁止端口开放情况;非公共开放的业务端口(如SSH),建议设置只允许特定的IP进行连接;安全组配置示例链接如下:安全组配置示例_虚拟私有云 VPC_华为云

  1. 启动安全组白名单策略,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。
  2. 建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;
  3. 定期检查系统和软件中的安全漏洞,及时打上补丁
  4. HSS 主要是对您的主机异常行为以及主机内存在的漏洞进行检测告警,并且hss支持隔离查杀,这个需要您自行开启下

开启恶意程序隔离查杀_企业主机安全 HSS_华为云

  1. xxl----job做好加固。

主机已确认被入侵,系统已变的不可信任!为安全起见,建议备份数据,择机重装系统,给所有账户及应用设置强密码,在安全组里对端口做限制(如:22等)。

xxl-job加固

XXL-JOB未授权访问漏洞预警-华为云

最后建议

1、开启主机防护吧,多花点钱,解决大问题

2、设置 ip 白名单吧

3、更改一下 ssh 的默认 22 端口吧

4、配置 RSA 秘钥吧

5、更改一下密码吧

6、限制一下 root 账户登录吧

相关推荐
开开心心就好17 天前
解决截图被拦截黑屏问题的免费小工具
安全·智能手机·flink·kafka·pdf·音视频·1024程序员节
开开心心就好22 天前
清理重复文件释放C盘空间的工具
安全·智能手机·pdf·gitlab·音视频·intellij idea·1024程序员节
数据皮皮侠AI1 个月前
中国土地利用驱动因子数据集(9种驱动因子/裁剪到省市/Tif)
大数据·人工智能·笔记·能源·1024程序员节
数据皮皮侠AI1 个月前
上市公司耐心资本数据(2010-2025)
大数据·人工智能·笔记·能源·1024程序员节
开开心心就好1 个月前
解决图片无页码添加功能的实用工具
javascript·python·安全·智能手机·pdf·音视频·1024程序员节
学传打活1 个月前
【边打字.边学昆仑正义文化】_25_宇宙动植物的由来(1)
微信公众平台·1024程序员节·汉字·昆仑正义文化
开开心心就好1 个月前
用户推荐的文件解锁与强制操作工具
安全·智能手机·pdf·scala·音视频·symfony·1024程序员节
liguojun20251 个月前
软硬一体智慧场馆系统推荐——助力场馆数字化高效升级
java·大数据·人工智能·物联网·1024程序员节
开开心心就好2 个月前
吾爱大佬原创的文件时间修改工具
安全·智能手机·pdf·电脑·智能音箱·智能手表·1024程序员节
开开心心就好2 个月前
近200个工具的电脑故障修复合集
安全·智能手机·pdf·电脑·consul·memcache·1024程序员节