如果對你有所學習,那就留下一個關注吧。
背景
一般消耗CUP或者記憶體90%以上的基本都是病毒,常見的挖礦程序:xfsdatad、rshim、YDService.exe、kinsing、kdevtmpfsi、sysupdate、systemxlv、kthreaddi、kthreaddk 等,病毒程序一版都會跟系統程序名稱相似。在使用者不知情或未經允許的情況下,占用系統資源和網絡資源進行挖礦,影響使用者的網絡和資源,進而擷取虛拟币牟利。
惡意挖礦會造成哪些影響
1、CPU極高,耗電,造成網絡擁堵
2、影響業務運作
病毒清理流程
檢查伺服器是否存在挖礦病毒
使用top指令檢視程序及占用cpu百分比,如果該程序名稱為随機字元串,且cpu占的非常的高。則很可能是感染了挖礦病毒。
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | top | 檢視伺服器相關性能名額 |
執行指令頁面
[root@kafka ~]# top
top - 16:31:34 up 33 days, 22:08, 3 users, load average: 0.00, 0.01, 0.41
Tasks: 215 total, 1 running, 214 sleeping, 0 stopped, 0 zombie
%Cpu(s): 99.8 us, 0.0 sy, 0.0 ni, 99.2 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 16266744 total, 2682664 free, 4737328 used, 8846752 buff/cache
KiB Swap: 8257532 total, 8257532 free, 0 used. 10322540 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 191284 4284 2596 S 1429 0.0 4:56.62 qweq312ds 病毒id
2 root 20 0 0 0 0 S 0.0 0.0 0:00.14 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:04.02 ksoftirqd/0
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
7 root rt 0 0 0 0 S 0.0 0.0 0:01.78 migration/0
8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh
9 root 20 0 0 0 0 S 0.0 0.0 16:00.26 rcu_sched
systemctl status檢視病毒程序id
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | systemctl status | 檢視病毒程序id |
| 2 | kill -9 程序id | 殺掉程序id |
執行指令頁面
[root@sip ~]# systemctl status
● sip
State: degraded
Jobs: 0 queued
Failed: 2 units
Since: 二 2023-01-03 10:29:41 CST; 1 months 3 days ago
CGroup: /
├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
├─user.slice
│ └─user-0.slice
│ ├─session-36.scope
│ │ ├─26038 sshd: root@pts/0
│ │ ├─26093 -bash
│ │ ├─26156 systemctl status
│ │ └─26157 less
│ ├─session-20.scope
│ │ └─6544 8U24tmFt 此處為病毒程序
kill掉CGroup的程序id
檢視病毒是否仍在運作
輸入ps -ef|grep tracepath檢視病毒是否仍在運作,該程序推測是暴力破解ssh其他伺服器的程序且是自動啟動病毒程式的問題
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | ps -ef|grep tracepath | 檢視伺服器相關性能名額 |
| 2 | systemctl status 程序id | 檢視運作得程序id |
| 3 | Kill -9 程序id | 殺掉程序 |
執行指令頁面
[root@kafka ~]#ps -ef|grep tracepath
[root@kafka ~]#systemctl status 程序id
[root@kafka ~]# Kill -9 程序id
删除病毒檔案
到/root檔案夾,輸入ll -a指令
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | ll -a | 檢視檔案 |
| 2 | rm –rf 檔案 | 删除檔案 |
| 3 | crontab -e | 删除配置的定時任務 |
執行指令頁面
[root@kafka ~]# ll –a
drwxr-xr-x. 2 root root 76 10月 26 2020 .ssh
-rwxr-xr-x 1 root root 1991 8月 3 2017 .systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0.sh
-rw-r--r--. 1 root root 129 12月 29 2013 .tcshrc
-rw-r--r-- 1 root root 6137 1月 3 18:22 .viminfo
-rw-r--r--. 1 root root 10465 12月 28 10:28 zookeeper.out
[root@kafka ~]# rm -rf .systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0.sh
[root@kafka ~]# crontab -e
到/etc/cron.d檔案夾下,删除以0system開頭的檔案
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | cd /etc/cron.d | 切換 |
| 2 | ll | 檢視檔案 |
| 3 | rm –rf 檔案 | 删除病毒檔案 |
執行指令頁面
[root@sip ~]# cd /etc/cron.d
[root@sip cron.d]# ll
總用量 12
-rw-r--r--. 1 root root 128 4月 11 2018 0hourly
-rw-r--r-- 1 root root 91 8月 3 2017 0systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0
-rw------- 1 root root 203 7月 18 2020 clamav-update
[root@sip cron.d]# rm -rf 0systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0
删除掉所有以system-private命名的檔案,
執行指令步驟
| 步驟 | 執行指令 | 執行說明 |
| 1 | find / -name '*systemd-private*' -exec rm -rf {} \; | 删除systemd-private |
| 2 | rm -rf /usr/bin/tracepath | 删除tracepath |
| 3 | rm -rf /tmp/.X11-unix | 删除病毒檔案 |
| 4 | chmod -Rv a-w /etc/cron.d | 修改定時任務權限,以防再被修改 |
| 5 | chmod -Rv a-wr /var/spool/cron/root | 修改定時任務權限,以防再被修改 |
| 6 | vi /etc/hosts | 修改配置檔案 |
執行指令頁面
[root@sip cron.d]# find / -name '*systemd-private*' -exec rm -rf {} \;
find: ‘/var/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-openvpn@client.service-YRQgJr’: 沒有那個檔案或目錄
find: ‘/var/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-chronyd.service-jXdoKH’: 沒有那個檔案或目錄
find: ‘/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-chronyd.service-yQ99yh’: 沒有那個檔案或目錄
find: ‘/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-openvpn@client.service-quVlh0’: 沒有那個檔案或目錄
[root@sip cron.d]# rm -rf /usr/bin/tracepath
root@sip cron.d]# cd /tmp/
[root@sip tmp]# ll -a
總用量 8
drwxrwxrwt. 7 root root 134 2月 6 16:19 .
dr-xr-xr-x. 18 root root 4096 4月 9 2021 ..
drwxrwxrwt. 2 root root 6 7月 13 2020 .font-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .ICE-unix
---------- 1 root root 3 2月 6 16:15 kinsing
srwxrwxrwx 1 mongod mongod 0 1月 3 10:35 mongodb-37017.sock
drwxrwxrwt. 2 root root 6 7月 13 2020 .Test-unix
drwxrwxrwt. 2 root root 16 1月 14 08:40 .X11-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .XIM-unix
[root@sip tmp]# rm -rf .X
.X11-unix/ .XIM-unix/
[root@sip tmp]# rm -rf .X*
[root@sip tmp]# ll -a
總用量 8
drwxrwxrwt. 5 root root 100 2月 6 16:20 .
dr-xr-xr-x. 18 root root 4096 4月 9 2021 ..
drwxrwxrwt. 2 root root 6 7月 13 2020 .font-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .ICE-unix
---------- 1 root root 3 2月 6 16:15 kinsing
srwxrwxrwx 1 mongod mongod 0 1月 3 10:35 mongodb-37017.sock
drwxrwxrwt. 2 root root 6 7月 13 2020 .Test-unix
[root@sip tmp]# chmod -Rv a-w /etc/cron.d
mode of "/etc/cron.d" changed from 0755 (rwxr-xr-x) to 0555 (r-xr-xr-x)
mode of "/etc/cron.d/0hourly" changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of "/etc/cron.d/clamav-update" changed from 0600 (rw-------) to 0400 (r--------)
[root@sip tmp]# chmod -Rv a-wr /var/spool/cron/root
mode of "/var/spool/cron/root" changed from 0600 (rw-------) to 0000 (---------)
[root@sip tmp]# vi /etc/hosts
增加以下内容:
127.0.0.1 relay.tor2socks.in
127.0.0.1 checkip.amazonaws.com
127.0.0.1 cim8.f.dedikuoti.lt
127.0.0.1 hydra.plan9-ns1.com
說明:有條件的話,設定ssh禁止root登陸、修改root的密碼12、有條件的話,設定ssh禁止root登陸、修改root的密碼,修改ssh的端口
![伺服器帶寬跑滿的排查處理[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)