挖矿病毒判断与处理 - 入门
常见挖矿病毒
- 病毒名称:qW3xT:
- 现象:占用超高CPU,进程查杀之后自启动
- 病毒名称:Ddgs.3011
- 现象:占用超高CPU,进程查杀之后自启动
- 病毒名称:S01wipefs
- 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净
- 病毒名称:acpidtd
- 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净
- 病毒名称:MSFC
- 现象:占用超高CPU及内存,病毒源文件单一,较容易查杀
挖矿病毒感染情况判断
挖矿病毒会通过ssh暴力破解、sql注入等形式,或者U盘等物理介质将病毒源文件传播到服务器中,以脚本/定时任务/自启动服务形式,执行挖矿程序,kill之后能够再次启动
从挖矿病毒危害来考虑这个问题,挖矿病毒的目标主要是宿主机的算力,从而导致:
- 占用较大系统资源
- 浪费网络带宽,影响办公效率
- 增加电力消耗
- 黑客也可以通过挖矿病毒,窃取系统密码、机密文件和探索网络中其他资产,导致关键信息泄露和文件丢失
所以对于挖矿病毒感染情况判断可从以下几个角度入手
1. 查看服务器cpu运行状态
- top命令
- Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器
C展示运行命令P展示按CPU排序
- ps命令
- 检查是否存在占用CPU较高的进程
-
ps –aux|sort –rn –k +3 |head
-
- 检查是否存在占用内存较高的进程
-
ps –aux|sort –rn –k +4 |head
-
- 检查是否存在占用CPU较高的进程
- free命令
2. 检查异常任务
检查是否有异常定时任务
crontab -l检查是否有异常自启服务
ll /etc/rc.d/init.d
cat /etc/rc.local检查是否有异常登录记录
last –a3. 查看网络流量 ,观察对外网访问的流量
- 查看有无异常持续对外访问的ip
- 筛选特征字段XMRig/5.1.0,这是挖矿通信流量
- 将ip拿去微步在线查询,看ip是否已经标注恶意
命令篡改问题
以top命令被篡改举例
top文件篡改可能影响top面板的显示,导致无法看到正常的程序运行状态,如果发现top界面有异常,可以去top的可执行文件目录下检查
如果不知道命令的可执行文件在哪,善用whereis命令
whereis top
可以发现top命令实际执行的是/usr/bin/top
ll /usr/bin/top*检查top文件是否被篡改,如果被改了可以从其他机器拷一份过来替换使用
挖矿病毒清理
- top 检查可疑进程,pkill 杀死进程
- 如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查
/var/spool/cron/root和/etc/crontab和/etc/rc.lcoal
- 如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查
- 找到可疑程序的位置将其删除,如果删除不掉,查看隐藏权限
lsattr、chattr修改权限后将其删除即可- 如果
chattr文件被删除而无法解锁,则需要先拷贝一份chattr文件
- 查看
/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改 - 在防火墙关闭不必要的映射端口号,重启再测试是否还会有可疑进程存在
参考
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)-CSDN博客
挖矿病毒流量特征学习 - 潜伏237 - 博客园挖矿病毒流量特征学习 - 潜伏237 - 博客园挖矿病毒流量特征学习 - 潜伏237 - 博客园