「总结」Linux遭到挖矿病毒入侵的排查和对策

1102天前 · 服务器运维 · 总结归纳 · 727次阅读

总结-Linux遭到挖矿病毒入侵的排查和对策

  • 怎么说,这一个月我可是被攻击惨了,再加上我人在学校,维护也是很费力
  • 虽然说最后还是依靠了eset解决了问题
    但是我也通过这一事件,学到了一些基本的挖矿病毒排查应对的技巧,在这里就和大家分享一下
  • 注意!只是基本的,很多情况下,这样是无法根本地对付挖矿病毒的
    而且本文章只针对挖矿病毒,其它类型的病毒可以迁移技巧,但这下面的方法不一定凑效
  • 本文章分为两个部分:「排查挖矿病毒」「对付挖矿病毒」

排查挖矿病毒

  • 首先,我们要知道是个什么病毒在入侵,有什么行为,这样才能进一步地对付,所以这里介绍一下如何排查
  • 挖矿病毒入侵最明显的特征就是CPU/GPU高占用
  • 而我们在使用Linux时就应该知道:控制进程就等于控制Linux 这件事情
    这句话意味着,只要找到病毒的进程,然后杀死就可以解决问题了(bushi)
  • 然而,大多数挖矿病毒都不傻,他们会隐藏自己的进程并且使用各种手段来守护自己
    这就大大增加了找到和杀死该病毒的难度
  • 因此,下面就会列举一些对付病毒这些特性来进行排查的方法

使用HTOP/BUSYBOX HTOP

  • 大多数挖矿病毒隐藏自己,不让你发现然后被干掉的秘诀就是修改top的源代码
    这就可以使得该进程无法通过linux下最常用的top这一工具来查找到它
  • 这个时候,你可以选择安装第三方的代替工具:htop 或 使用被称之为linux军工刀的busybox中携带的top来查找
  • 执行 htopbusybox top 就可以看到哪些进程消耗资源的情况了
    现在你就知道是哪个B儿子在偷偷挖矿了,先不要着急杀了,后续我们还要处理,否则是没有用的
  • PS:一种例外的情况,就是你仍然没有发现任何异常。如果这样的话,恭喜你中奖,这是个高级的病毒

  • 除htop/busybox,各位还可以使用vmstat/unhide等来排查
  • 注意!在被入侵的情况下,建议各种指令都使用busybox来执行,因为原来的指令很有可能被拦截/篡改

对付挖矿病毒

  • 这可就难了,因为病毒通常会使用各种各样地手段死而复生,真的很麻烦

先别急着kill

  • 在上面的排查中得到挖矿病毒的pid之后
    我们就cd /proc/<pid> 然后 ll
  • 你就可以看到一项exe的内容,这就是该进程启动的文件
  • 但是啊,一般这个文件都是会被病毒启动后就删除,一般情况下找不到,除不了,但如果你的没有,你很幸运,rm -rf它,然后就可以进入下一步了
    如果你的已经被删了,哈哈哈,有够惨,推荐直接下载eset或者别的顶级的杀毒软件,扫描处理掉它,凭你自己是做不到的
  • 启动文件都被删了,那还是直接kill吧,但是请killall -9 <name> name是该进程的名称,查查就知道了

不要让它卷土重来

  • 如果你到上一步就停下了,恭喜,等着你的就是30s后它又回来了

处理守护进程

  • 很明显,这病毒是通过守护进程等手段来恢复的,所以一定还要找到守护进程!
  • 守护进程嘛...CPU占用不会很高,就是名称会奇奇怪怪,你在htop/top里往下翻翻看看就找到了(一般)
  • 然后也是killall -9 <name>
  • PS:有些病毒的守护进程是监听端口的,使用netstat -ltnp查看也可以找到,然后killall

crontab

  • cron是linux下的定时任务执行器,我相信你通过名称已经明白它可以拿来干嘛了,就不解释了
  • crontab -e会通过vi打开/var/spool/cron/<user>这个文件,发现异常的内容删掉就好
  • 但是我一般用nano删掉/var/spool/cron/root中的内容后还修改其权限为400,即不可写入
    这样可以防止病毒再次写入任务进去

开机启动

  • 这个也是基操了
  • systemctl list-unit-files 看看有没有异常自启动程序
    找到后直接systemctl disable <service_name>就好了
  • 当然还有/etc/init.d/下的文件,不要让奇怪的执行文件混进去了

总结

  • 反正对付病毒的关键就是杀死并阻止病毒复生
  • 挖矿病毒害人真的不浅,白白耗费我的资源来给别人打工,想想就气
  • 挖矿这个也真是,还弄得我配台电脑,买显卡就搞了好久,实在是二手矿卡一堆,新卡价钱高得一匹(虽然最近再降了,但我买不起)
  • 最后如果想要省点力气,或你真的杀不掉病毒的话,还是建议使用 DRWEB/ESET/卡巴斯基 这类顶尖的杀毒软件来处理
👍 0

anti-virus

最后修改于148天前

评论

贴吧 狗头 原神 小黄脸
收起

贴吧

  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡

狗头

  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头

原神

  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神

小黄脸

  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸

目录

avatar

Lanzhijiang

71

文章数

25

评论数

21

分类