linux伺服器挖礦病毒處理方案

Linux伺服器挖礦病毒處理

情況說明：挖礦程序被隱藏（CPU佔用50%，htop/top卻看不到異常程序），結束挖礦程序後馬上又會執行起來（crontab -l檢視發現沒有定時任務）。

1、中毒表現

伺服器是24核的，前12核的CPU佔用一直處於100%，即使重啟伺服器，馬上就會佔用12核的CPU，並且系統記憶體佔用也很大。中毒表現有如下幾點：

• 在沒有使用軟體的情況下，CPU使用率很高（使用top或者htop檢視系統記憶體佔用情況）。
• 透過netstat -natp發現有異常IP地址。
• 發熱極其嚴重，風扇狂轉。
• 伺服器莫名其妙突然卡頓。

2、解決辦法

2.1 斷網並修改root密碼

在發現中了挖礦病毒後，一定要首先斷網並修改root密碼！！！

2.2 找出隱藏的挖礦程序

這裡利用兩個工具【sysdig】和【unhide】來搜尋被隱藏的程序。

# 安裝 sysdigsudo apt install sysdig# 安裝 unhidesudo apt install unhide

# 輸出cpu佔用的排行，可以顯示出隱藏的程序sudo sysdig -c topprocs_cpu

# 搜尋隱藏程序，proc目錄下儲存的是所有正在執行程式的程序ID，即PIDsudo unhide proc

這時就找到了挖礦病毒的PID，但是直接kill -9 PID殺死程序後就會發現不到1分鐘的時間，就會有一個新的挖礦程序出現，因此這個挖礦程序肯定是被什麼服務所啟動的，接下來我們便需要找到這個服務並將其關閉。

2.3 關閉病毒啟動服務

透過上面unhide proc發現的隱藏程序，利用systemctl status PID來檢查 systemd 管理的服務或者程序狀態，來看一下該病毒到底是如何被啟動的。

`systemctl status 3084 # 3084為病毒的PID`

檢視輸出的CGroup段資訊，可以看到一個字尾為.service的服務，該服務就是病毒的啟動服務。

# 終止病毒啟動服務systemctl stop xxxxX.service# 終止挖礦服務的開機自啟systemctl disable xxxxX.service

2.4 殺掉挖礦程序

在關閉了挖礦病毒的啟動服務之後，現在就可以將挖礦程序kill了。kill之後，CPU恢復正常，並且也沒有了隱藏程序。

`kill -9 PID`

3、防止駭客再次入侵

3.1 查詢異常IP

# 透過 netstat -natp 顯示網路相關資訊，檢視是否存在異常IPnetstat -natp

將查到的異常IP直接在百度中輸入就可以看到該IP的一些資訊。

3.2 封禁異常IP

利用防火牆 iptables 對異常IP進行封禁。

# 對異常IP封禁sudo iptables -I INPUT -s IP -j DROP# 檢查是否已經成功新增iptables -L INPUT -v -n

預設情況下，透過 iptables 新增的規則在系統重啟後會丟失。如果希望規則在重啟後依然有效，需要將規則儲存到配置檔案中。可以使用 iptables-persistent 工具來實現。

# 安裝iptables-persistentsudo apt-get install iptables-persistent# 將規則儲存到配置檔案sudo netfilter-persistent save# 設定為開機自啟systemctl enable iptables# 開啟服務systemctl start iptables

3.3 檢視是否有陌生公鑰

`cat ~/.ssh/authorized_keys`

如果有陌生公鑰立即刪掉。

4、安裝安全狗進行防護

安裝說明請檢視官網地址：https://www.safedog.cn/install_desc_server.html

操作手冊：https://www.safedog.cn/download/software/safedogfwq_linux_Help.pdf

以下是安全狗安裝成功後的ui介面。

5、Linux病毒掃描工具ClamAV

https://www.moewah.com/archives/5296.html

ClamAV 是一款開源的防病毒引擎，用於檢測各類惡意軟體。其特色是提供命令列掃描，定製病毒資料庫更新，以及對新病毒的快速反應。適用於各種系統，包括 Windows、Mac 以及 Linux 等。本教程將指導你如何安裝、配置和使用 ClamAV 的主要功能。

5.1 安裝

對於 Debian/Ubuntu 系統，使用以下命令安裝：

sudo apt-get updatesudo apt-get install clamav clamav-daemon

對於 CentOS/RHEL 系統，使用以下命令安裝：

sudo yum install epel-releasesudo yum install clamav clamav-update

5.2 配置

完成安裝後，必須更新 ClamAV 的病毒資料庫。這將幫助 ClamAV 識別並抵禦最新的威脅。可以使用以下命令進行更新：

`sudo freshclam`

5.3 使用

以下是 ClamAV 關於 clamscan 命令常見使用示例，更多用法請執行 clamscan -help 檢視幫助檔案：

# 掃描單個檔案clamscan /path/to/your/file# 掃描整個目錄clamscan -r /path/to/directory# 自動刪除檢測到的病毒clamscan --remove -r /path/to/directory# 為掃描結果生成報告clamscan -r /path/to/directory > scanreport.txt# 在掃描時顯示病毒被發現的資訊clamscan -r --bell -i /path/to/directory

clamdscan 是 ClamAV 防病毒伺服器 clamd 的客戶端，用於與後臺持續執行並載入病毒資料庫的 clamd 進行互動以執行病毒掃描，使得頻繁或大規模的掃描任務更加高效。

如果要使用 ClamAV 守護程序 clamdscan 命令進行掃描，首先確保守護程序已啟動：

`sudo systemctl start clamav-daemon`

接下來，使用 clamdscan 命令執行掃描，例如：

`clamdscan /path/to/your/file`

或

`clamdscan -r /path/to/your/directory`

多執行緒遞迴掃描目錄檔案，同時會傳遞檔案描述符：

`clamdscan --multiscan --fdpass /path/to/scan`

其他補充

6、安全狗安裝缺少命令元件解決方案

Need system command 'locate' to install safedog for linux.Installation aborted!

是缺少搜尋命令元件，用下面命令進行安裝

`yum -y install mlocate`

Need system command 'lspci' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum -y install pciutils`

Need system command 'lsof' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install lsof`

Need system command 'netstat' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install net-tools`

Need system command 'killall' to install safedog for linux.Installation aborted!

用下面命令進行安裝

`yum install psmisc`

7、Linux——“沒有可用軟體包”

在CentOS 7上，當使用yum命令安裝軟體包時，如果出現“沒有可用的軟體包”提示，這通常意味著yum源中已經沒有對應的安裝包了。

解決方法——>安裝epel-release軟體包

`yum install -y epel-release`

8、linux系統上安裝sysdig

sysdig是一個超級系統工具，比 strace、tcpdump、lsof 加起來還強大。可用來捕獲系統狀態資訊，儲存資料並進行過濾和分析。

在linux系統上安裝sysdig可以一鍵式安裝：

`curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig| sudo bash`

這是一個線上的自動安裝工具，是一個 shell 指令碼，會識別常用的 linux 發行版本，並根據對應的版本配置源，最後是安裝 Sysdig 包。

測試是否安裝成功：

`sysdig -pc -c topconns`

出現以下資訊，說明安裝正確：

連結：https://blog.csdn.net/liu854046222/article/details/143136834?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522ebdcc15417ab944c8c57ec853509b5a1%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=ebdcc15417ab944c8c57ec853509b5a1&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-143136834-null-null.142^v102^pc_search_result_base6&utm_term=linux%E6%8C%96%E7%9F%BF&spm=1018.2226.3001.4187

（版權歸原作者所有，侵刪）

文末福利

就目前來說，傳統運維衝擊年薪30W+的轉型方向就是SRE&DevOps崗位。

為了幫助大家早日擺脫繁瑣的基層運維工作，給大家整理了一套高階運維工程師必備技能資料包，內容有多詳實豐富看下圖！

共有 20 個模組