挖矿病毒的处理

前阶段生产服务器又中挖矿病毒了,紧急处理了一波

现象

执行 top命令,查看哪里cpu占用较高

CPU 彪满下不来

解决

1、杀掉进程 kill -9 pid

2、但是,过一会又不行了,说明有定时任务在定时执行这个病毒

3、先找到病毒文件,删掉

find / -name "xmrig"

4、删掉c3poo整个文件夹

cd /home/tomcat

rm -rf c3pool

5、全局再找找还有没有 find / -name c3pool/

6、检查隐藏文件和目录,避免漏网之鱼

# 这些可能是病毒的一部分
find / -name ".*" -print

还没完

一会,又回来了。 以上操作只是把病毒文件删了,但是任务还没删,一会还会回来

1、检查定时任务

# 查看当前用户的cron任务
crontab -l

# 检查cron服务的状态
systemctl status cron
# 或者老系统执行
service cron status

# 查看 cron 日志
cat /var/log/cron

现象:

crontab -l 发现没有定时任务,状态也正常

但是,cron 日志却一直有任务,说明被隐藏了

继续放大招

检查所有用户的Crontab任务

即使您已经检查了当前用户的cron任务,病毒也可能在其他用户的cron任务中设置了定时执行。使用以下命令来查看系统上所有用户的cron任务:

for user in $(getent passwd | cut -f1 -d:); do echo $user; crontab -u $user -l; done

卧槽你妈,真 TM 有,藏得够深

解决

1、删除cron任务:

# 删除用户 tomcat 的cron任务,这些任务负责重新下载和运行xmrig挖矿脚本。
crontab -u tomcat -r

2、删除下载的脚本和相关文件

根据crontab中的输出,需要删除以下文件:

定时下载的脚本:这通常位于 /tmp 目录下,可能需要根据实际文件名进行搜索。

/home/tomcat/.ssh/miner.sh:这是系统启动时运行的脚本。

rm -f /tmp/*setup_c3pool_miner.sh
rm -f /home/tomcat/.ssh/miner.sh

如果出现无法删除文件的报错

# 先解锁下文件再删除下
chattr -ia 文件名

rm -r 文件名

其他

  • 如果杀不掉 PID,可查找进程数杀父进程开始: pstree -p | grep 6386

Linux 主机安全加固

如下是华为云工单提供的解决方案

  1. 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上;将主机登录方式改为秘钥登录彻底规避风险:
  1. 严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。

禁止不必要的端口直接暴露在公网,设置防火墙规则或配置安全组策略来禁止端口开放情况;非公共开放的业务端口(如SSH),建议设置只允许特定的IP进行连接;安全组配置示例链接如下:安全组配置示例_虚拟私有云 VPC_华为云

  1. 启动安全组白名单策略,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。
  2. 建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;
  3. 定期检查系统和软件中的安全漏洞,及时打上补丁
  4. HSS 主要是对您的主机异常行为以及主机内存在的漏洞进行检测告警,并且hss支持隔离查杀,这个需要您自行开启下

开启恶意程序隔离查杀_企业主机安全 HSS_华为云

  1. xxl----job做好加固。

主机已确认被入侵,系统已变的不可信任!为安全起见,建议备份数据,择机重装系统,给所有账户及应用设置强密码,在安全组里对端口做限制(如:22等)。

xxl-job加固

XXL-JOB未授权访问漏洞预警-华为云

最后建议

1、开启主机防护吧,多花点钱,解决大问题

2、设置 ip 白名单吧

3、更改一下 ssh 的默认 22 端口吧

4、配置 RSA 秘钥吧

5、更改一下密码吧

6、限制一下 root 账户登录吧

相关推荐
百流10 分钟前
Pyspark中pyspark.sql.functions常用方法(4)
1024程序员节
qq210846295314 分钟前
【Ubuntu】Ubuntu22双网卡指定网关
1024程序员节
YueTann31 分钟前
APS开源源码解读: 排程工具 optaplanner II
1024程序员节
kinlon.liu40 分钟前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节
爱编程— 的小李44 分钟前
开关灯问题(c语言)
c语言·算法·1024程序员节
是程序喵呀1 小时前
Uni-App-02
uni-app·vue·1024程序员节
A_aspectJ2 小时前
Spring 框架中都用到了哪些设计模式?
spring·设计模式·1024程序员节
双子座断点2 小时前
QT 机器视觉 (3. 虚拟相机SDK、测试工具)
qt·1024程序员节
20岁30年经验的码农2 小时前
爬虫基础
1024程序员节