转:Linux常见挖矿病毒查杀1|0快速识别Linux病毒
1|1善⽤Google
基本上Google可以识别出99%的病毒。
1|2搜索病毒特征
1、异常进程名,使⽤top命令查看系统中的进程状态。
2、进程对应⽹关域名/IP,使⽤netstat -antp查看即可。
1|3搜索主机可疑特征
定时任务
查看定时任务corntab -l
查看可疑脚本的内容,根据内容再来分析。基层党组织建设年
可疑⽂件路径
查看主⽬录的⽂件详情, 不要忘记查看隐藏⽂件。
可疑⽹络链接
同上,netstat -antp
1|4常见Linux病毒家族
⽼⼀辈家族: BillGates
新⽣代家族: DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族: Mirai、Gafgyt
BillGates
病毒特点:
1、在/tmp⽬录下有gates.lod、moni.lod⽂件。
2、访问域名www.id666.pw。
3、将系统⽂件(ss、netstat、ps)替换成病毒的伪装⽂件。
DDG
病毒特点:
1、tmp⽬录下有ddgs.+数字的ELF⽂件。
2、存在下载i.sh的定时任务。
SystemedMiner
病毒特点:
1、访问带有tor2web、onion字符串的域名。
2、在/tmp⽬录下有systemd*的⽂件(后期版本为随机名)。
3、存在运⾏systemd-login的定时任务(后期版本为随机名)。
StartMiner
病毒特点:
1、定时任务⾥有包含2start.jpg的字符串。
2、/tmp⽬录下存在名为x86_*的病毒⽂件。
生育险交多久生孩子可以报销
3、有多个病毒伪装定时任务⽂件:apache、nginx、root。
WatchdogsMiner
病毒特点:
1、存在执⾏pastebin上恶意代码的定时任务。
2、/tmp⽬录下存在⼀个名为watchdogs的病毒⽂件。
XorDDos
病毒特点:高虎身高
1、存在病毒⽂件/lib/libudev.so。
2、在/usr/bin,/bin,/lib,/tmp⽬录下有随机名病毒⽂件。
不系安全带
3、存在执⾏gcc.sh的定时任务。
Mirai
病毒特点:
1、多平台攻击,病毒⽂件中带有架构名。
2、由于代码开源,Mirai每天都在变种。
2|0常规病毒清除⽅法
2|1第⼀步
定位进程top
清除进程kill -9 [pid]
2|2第⼆步
根据进程信息定位⽂件ls /porc/[pid]/exe
删除⽂件/⽂件夹rm -rf [filepath/dir_path]
2|3第三步
检查定时任务crontab -l或者ll /etc/cron.d
清空定时任务crontab -r
删除指定定时任务grep -r “curl” /var/spool/cron
删除定时任务⽂件rm /etc/cron.d/[file]
3|0顽固病毒处理⽅法
3|1对抗技巧
⽂件/定时任务删除失败-------------------⽂件只读属性保护
⽂件/定时任务删完⼜出现-----------------系统⽂件替换/下载进程残留病毒进程刚刚删完⼜被拉起---------------恶意进程守护
主机严重卡顿但不到挖矿进程-----------系统命令劫持
主机杀⼲净后⼀段时间⼜出现病毒---------ssh&漏洞再次⼊侵
3|2⽂件/定时任务删除失败
删除定时任务提⽰权限不⾜
使⽤lsattr查看⽂件属性,通过chattr清除属性后成功删除
3|3⽂件/定时任务删完⼜出现
ss、netstat、ps、lsof命令被替换为病毒⽂件,需要将原⽂件删掉,再将纯净的⽂件放进去。
存在如curl、wget等下载进程,反复下载病毒⽂件
定时任务/var/spool/cron/root被反复创建,杀不⼲净
删不⼲净肯定是有恶意进程在守护,先把可疑进程杀掉
3|4病毒进程删完⼜被拉起
关键字关联可疑进程:sh、wget、curl、xmr、mine、ssh
到⽗进程,结束整个进程树
毛阿敏几段婚史3|5主机卡顿但不到挖矿进程
系统CPU占⽤率⾼,但没发现挖矿进程
linux下获取占⽤CPU资源最多的10个进程,可以使⽤如下命令组合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head linux下获取占⽤内存资源最多的10个进程,可以使⽤如下命令组合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head 使⽤busybox的top命令,成功发现挖矿进程及母体进程
3|6主机查杀⼲净了之后⼜出现
Redis未授权访问
曹操儿子检查ssh是否为弱密码,及~/.ssh/authorized_keys中是否保存有免密公钥
__EOF__