linux服務器挖礦病毒處理方案

Linux服務器挖礦病毒處理

情況說明：挖礦進程被隱藏（CPU占用50%，htop/top卻看不到異常進程），結束挖礦進程后馬上又會運行起來（crontab -l查看發現沒有定時任務）。

1、中毒表現

服務器是24核的，前12核的CPU占用一直處于100%，即使重啟服務器，馬上就會占用12核的CPU，并且系統內存占用也很大。中毒表現有如下幾點：

? 在沒有使用軟件的情況下，CPU使用率很高（使用top或者htop查看系統內存占用情況）。

? 通過netstat -natp發現有異常IP地址。

? 發熱極其嚴重，風扇狂轉。

? 服務器莫名其妙突然卡頓。

2、解決辦法

2.1 斷網并修改root密碼

在發現中了挖礦病毒后，一定要首先斷網并修改root密碼！！！

2.2 找出隱藏的挖礦進程

這里利用兩個工具【sysdig】和【unhide】來搜尋被隱藏的進程。

# 安裝 sysdig
sudoapt install sysdig
# 安裝 unhide
sudoapt install unhide

# 輸出cpu占用的排行，可以顯示出隱藏的進程
sudosysdig -c topprocs_cpu

# 搜索隱藏進程，proc目錄下保存的是所有正在運行程序的進程ID，即PID
sudounhide proc

這時就找到了挖礦病毒的PID，但是直接kill -9 PID殺死進程后就會發現不到1分鐘的時間，就會有一個新的挖礦進程出現，因此這個挖礦進程肯定是被什么服務所啟動的，接下來我們便需要找到這個服務并將其關閉。

2.3 關閉病毒啟動服務

通過上面unhide proc發現的隱藏進程，利用systemctl status PID來檢查 systemd 管理的服務或者進程狀態，來看一下該病毒到底是如何被啟動的。

`systemctl status 3084# 3084為病毒的PID`

查看輸出的CGroup段信息，可以看到一個后綴為.service的服務，該服務就是病毒的啟動服務。

# 終止病毒啟動服務
systemctl stop xxxxX.service
# 終止挖礦服務的開機自啟
systemctldisablexxxxX.service

2.4 殺掉挖礦進程

在關閉了挖礦病毒的啟動服務之后，現在就可以將挖礦進程kill了。kill之后，CPU恢復正常，并且也沒有了隱藏進程。

`kill-9 PID`

3、防止黑客再次入侵

3.1 查找異常IP

# 通過 netstat -natp 顯示網絡相關信息，查看是否存在異常IP
netstat -natp

將查到的異常IP直接在百度中輸入就可以看到該IP的一些信息。

3.2 封禁異常IP

利用防火墻 iptables 對異常IP進行封禁。

# 對異常IP封禁
sudoiptables -I INPUT -s IP -j DROP
# 檢查是否已經成功添加
iptables -L INPUT -v -n

默認情況下，通過iptables添加的規則在系統重啟后會丟失。如果希望規則在重啟后依然有效，需要將規則保存到配置文件中。可以使用iptables-persistent工具來實現。

# 安裝iptables-persistent
sudoapt-get install iptables-persistent
# 將規則保存到配置文件
sudonetfilter-persistent save
# 設置為開機自啟
systemctlenableiptables
# 打開服務
systemctl start iptables

3.3 查看是否有陌生公鑰

`cat~/.ssh/authorized_keys`

如果有陌生公鑰立即刪掉。

4、安裝安全狗進行防護

安裝說明請查看官網地址

操作手冊

以下是安全狗安裝成功后的ui界面。

5、Linux病毒掃描工具ClamAV

https://www.moewah.com/archives/5296.html

Cla-mAV 是一款開源的防病毒引擎，用于檢測各類惡意軟件。其特色是提供命令行掃描，定制病毒數據庫更新，以及對新病毒的快速反應。適用于各種系統，包括 Win-dows、Mac 以及 Linux 等。本教程將指導你如何安裝、配置和使用 Cla-mAV 的主要功能。

5.1安裝

對于 De-bian/Ubuntu 系統，使用以下命令安裝：

sudoapt-get update
sudoapt-get install clamav clamav-daemon

對于 Cen-tOS/RHEL 系統，使用以下命令安裝：

sudoyum install epel-release
sudoyum install clamav clamav-update

5.2 配置

完成安裝后，必須更新 Cla-mAV 的病毒數據庫。這將幫助 Cla-mAV 識別并抵御最新的威脅。可以使用以下命令進行更新：

`sudofreshclam`

5.3 使用

以下是 Cla-mAV 關于clamscan命令常見使用示例，更多用法請運行clamscan -help查看幫助文件：

# 掃描單個文件
clamscan /path/to/your/file

# 掃描整個目錄
clamscan -r /path/to/directory

# 自動刪除檢測到的病毒
clamscan --remove -r /path/to/directory

# 為掃描結果生成報告
clamscan -r /path/to/directory > scanreport.txt

# 在掃描時顯示病毒被發現的信息
clamscan -r --bell -i /path/to/directory

clamdscan是 Cla-mAV 防病毒服務器clamd的客戶端，用于與后臺持續運行并加載病毒數據庫的clamd進行交互以執行病毒掃描，使得頻繁或大規模的掃描任務更加高效。

如果要使用 Cla-mAV 守護進程clamdscan命令進行掃描，首先確保守護進程已啟動：

`sudo systemctlstartclamav-daemon`

接下來，使用clamdscan命令執行掃描，例如：

`clamdscan /path/to/your/file`

或

`clamdscan -r /path/to/your/directory`

多線程遞歸掃描目錄文件，同時會傳遞文件描述符：

`clamdscan --multiscan --fdpass /path/to/scan`

其他補充

6、安全狗安裝缺少命令組件解決方案

Need system command 'locate' to install safedog for linux.Installation aborted!

是缺少搜索命令組件，用下面命令進行安裝

`yum -y install mlocate`

Need system command 'lspci' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum -y install pciutils`

Need system command 'lsof' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install lsof`

Need system command 'netstat' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install net-tools`

Need system command 'killall' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install psmisc`

7、Linux——“沒有可用軟件包”

在CentOS 7上，當使用yum命令安裝軟件包時，如果出現“沒有可用的軟件包”提示，這通常意味著yum源中已經沒有對應的安裝包了。

解決方法——>安裝epel-release軟件包

`yum install-y epel-release`

8、linux系統上安裝sysdig

sysdig是一個超級系統工具，比 strace、tcpdump、lsof 加起來還強大。可用來捕獲系統狀態信息，保存數據并進行過濾和分析。

在linux系統上安裝sysdig可以一鍵式安裝：

`curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig| sudo bash`

這是一個在線的自動安裝工具，是一個 shell 腳本，會識別常用的 linux 發行版本，并根據對應的版本配置源，最后是安裝 Sysdig 包。

測試是否安裝成功：

`sysdig -pc -c topconns`

出現以下信息，說明安裝正確：