如果对你有所学习,那就留下一个关注吧。
背景
一般消耗CUP或者内存90%以上的基本都是病毒,常见的挖矿进程:xfsdatad、rshim、YDService.exe、kinsing、kdevtmpfsi、sysupdate、systemxlv、kthreaddi、kthreaddk 等,病毒进程一版都会跟系统进程名称相似。在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。
恶意挖矿会造成哪些影响
1、CPU极高,耗电,造成网络拥堵
2、影响业务运行
病毒清理流程
检查服务器是否存在挖矿病毒
使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | top | 查看服务器相关性能指标 |
执行命令页面
[root@kafka ~]# top
top - 16:31:34 up 33 days, 22:08, 3 users, load average: 0.00, 0.01, 0.41
Tasks: 215 total, 1 running, 214 sleeping, 0 stopped, 0 zombie
%Cpu(s): 99.8 us, 0.0 sy, 0.0 ni, 99.2 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 16266744 total, 2682664 free, 4737328 used, 8846752 buff/cache
KiB Swap: 8257532 total, 8257532 free, 0 used. 10322540 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 191284 4284 2596 S 1429 0.0 4:56.62 qweq312ds 病毒id
2 root 20 0 0 0 0 S 0.0 0.0 0:00.14 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:04.02 ksoftirqd/0
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
7 root rt 0 0 0 0 S 0.0 0.0 0:01.78 migration/0
8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh
9 root 20 0 0 0 0 S 0.0 0.0 16:00.26 rcu_sched
systemctl status查看病毒进程id
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | systemctl status | 查看病毒进程id |
2 | kill -9 进程id | 杀掉进程id |
执行命令页面
[root@sip ~]# systemctl status
● sip
State: degraded
Jobs: 0 queued
Failed: 2 units
Since: 二 2023-01-03 10:29:41 CST; 1 months 3 days ago
CGroup: /
├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
├─user.slice
│ └─user-0.slice
│ ├─session-36.scope
│ │ ├─26038 sshd: root@pts/0
│ │ ├─26093 -bash
│ │ ├─26156 systemctl status
│ │ └─26157 less
│ ├─session-20.scope
│ │ └─6544 8U24tmFt 此处为病毒进程
kill掉CGroup的进程id
查看病毒是否仍在运行
输入ps -ef|grep tracepath查看病毒是否仍在运行,该进程推测是暴力破解ssh其他服务器的进程且是自动启动病毒程序的问题
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | ps -ef|grep tracepath | 查看服务器相关性能指标 |
2 | systemctl status 进程id | 查看运行得进程id |
3 | Kill -9 进程id | 杀掉进程 |
执行命令页面
[root@kafka ~]#ps -ef|grep tracepath
[root@kafka ~]#systemctl status 进程id
[root@kafka ~]# Kill -9 进程id
删除病毒文件
到/root文件夹,输入ll -a命令
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | ll -a | 查看文件 |
2 | rm –rf 文件 | 删除文件 |
3 | crontab -e | 删除配置的定时任务 |
执行命令页面
[root@kafka ~]# ll –a
drwxr-xr-x. 2 root root 76 10月 26 2020 .ssh
-rwxr-xr-x 1 root root 1991 8月 3 2017 .systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0.sh
-rw-r--r--. 1 root root 129 12月 29 2013 .tcshrc
-rw-r--r-- 1 root root 6137 1月 3 18:22 .viminfo
-rw-r--r--. 1 root root 10465 12月 28 10:28 zookeeper.out
[root@kafka ~]# rm -rf .systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0.sh
[root@kafka ~]# crontab -e
到/etc/cron.d文件夹下,删除以0system开头的文件
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | cd /etc/cron.d | 切换 |
2 | ll | 查看文件 |
3 | rm –rf 文件 | 删除病毒文件 |
执行命令页面
[root@sip ~]# cd /etc/cron.d
[root@sip cron.d]# ll
总用量 12
-rw-r--r--. 1 root root 128 4月 11 2018 0hourly
-rw-r--r-- 1 root root 91 8月 3 2017 0systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0
-rw------- 1 root root 203 7月 18 2020 clamav-update
[root@sip cron.d]# rm -rf 0systemd-private-uMjSD9OaH5uA4C3CCjD4q2XEwo1s0H0
删除掉所有以system-private命名的文件,
执行命令步骤
步骤 | 执行命令 | 执行说明 |
1 | find / -name '*systemd-private*' -exec rm -rf {} \; | 删除systemd-private |
2 | rm -rf /usr/bin/tracepath | 删除tracepath |
3 | rm -rf /tmp/.X11-unix | 删除病毒文件 |
4 | chmod -Rv a-w /etc/cron.d | 修改定时任务权限,以防再被修改 |
5 | chmod -Rv a-wr /var/spool/cron/root | 修改定时任务权限,以防再被修改 |
6 | vi /etc/hosts | 修改配置文件 |
执行命令页面
[root@sip cron.d]# find / -name '*systemd-private*' -exec rm -rf {} \;
find: ‘/var/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-openvpn@client.service-YRQgJr’: 没有那个文件或目录
find: ‘/var/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-chronyd.service-jXdoKH’: 没有那个文件或目录
find: ‘/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-chronyd.service-yQ99yh’: 没有那个文件或目录
find: ‘/tmp/systemd-private-730a178af48c4dac871e61fde2ce1a5f-openvpn@client.service-quVlh0’: 没有那个文件或目录
[root@sip cron.d]# rm -rf /usr/bin/tracepath
root@sip cron.d]# cd /tmp/
[root@sip tmp]# ll -a
总用量 8
drwxrwxrwt. 7 root root 134 2月 6 16:19 .
dr-xr-xr-x. 18 root root 4096 4月 9 2021 ..
drwxrwxrwt. 2 root root 6 7月 13 2020 .font-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .ICE-unix
---------- 1 root root 3 2月 6 16:15 kinsing
srwxrwxrwx 1 mongod mongod 0 1月 3 10:35 mongodb-37017.sock
drwxrwxrwt. 2 root root 6 7月 13 2020 .Test-unix
drwxrwxrwt. 2 root root 16 1月 14 08:40 .X11-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .XIM-unix
[root@sip tmp]# rm -rf .X
.X11-unix/ .XIM-unix/
[root@sip tmp]# rm -rf .X*
[root@sip tmp]# ll -a
总用量 8
drwxrwxrwt. 5 root root 100 2月 6 16:20 .
dr-xr-xr-x. 18 root root 4096 4月 9 2021 ..
drwxrwxrwt. 2 root root 6 7月 13 2020 .font-unix
drwxrwxrwt. 2 root root 6 7月 13 2020 .ICE-unix
---------- 1 root root 3 2月 6 16:15 kinsing
srwxrwxrwx 1 mongod mongod 0 1月 3 10:35 mongodb-37017.sock
drwxrwxrwt. 2 root root 6 7月 13 2020 .Test-unix
[root@sip tmp]# chmod -Rv a-w /etc/cron.d
mode of "/etc/cron.d" changed from 0755 (rwxr-xr-x) to 0555 (r-xr-xr-x)
mode of "/etc/cron.d/0hourly" changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of "/etc/cron.d/clamav-update" changed from 0600 (rw-------) to 0400 (r--------)
[root@sip tmp]# chmod -Rv a-wr /var/spool/cron/root
mode of "/var/spool/cron/root" changed from 0600 (rw-------) to 0000 (---------)
[root@sip tmp]# vi /etc/hosts
增加以下内容:
127.0.0.1 relay.tor2socks.in
127.0.0.1 checkip.amazonaws.com
127.0.0.1 cim8.f.dedikuoti.lt
127.0.0.1 hydra.plan9-ns1.com
说明:有条件的话,设置ssh禁止root登陆、修改root的密码12、有条件的话,设置ssh禁止root登陆、修改root的密码,修改ssh的端口