Linux中挖矿病毒清理通用思路

已于 2023-04-19 20:06:10 修改
阅读量4.1k 收藏 21
点赞数 2
分类专栏: 应急响应 文章标签: linux 网络安全 系统安全 安全
于 2023-04-19 20:03:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youuzi/article/details/130251856
版权

目录

前言

清理流程

检查修复DNS

停止计划任务

取消tmp目录的可执行权限

服务排查

进程排查

高CPU占用进程查杀

计划任务清理

预加载劫持清理

系统命令变动排查

中毒前后可执行文件排查

系统配置文件排查

小结

前言

在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行

清理流程

注:命令均在busybox工具下执行

检查修复DNS

挖矿病毒有时候为了防止访问不到矿池或者代理,往往会修改dns记录,故可以先查看“/etc/resolv.conf”文件内容情况

停止计划任务

为了做到持久化控制,在攻击者权限足够的情况下,往往会写计划任务项,达到持续执行挖矿脚本的目的,为了清理过程中不会再都执行挖矿脚本,先把定时任务服务停止。

    chattr -R -ai /etc/ &>/dev/null  #去除文件不可修改权限
    systemctl stop crond #centos为crond,ubuntu为cron
    systemctl stop atd
    pkill crond 
    pkill atd

取消tmp目录的可执行权限

攻击者为了方便,往往会把运行脚本隐藏在tmp目录下,但是我们清理过程中,如果怕误删或者不清楚哪些是恶意文件的话,可以直接取消tmp目录下所有文件的可执行权限

chattr -R -ai /tmp/ /var/tmp/ /dev/shm/
chmod -R -x /tmp/ /var/tmp/ /dev/shm/

服务排查

正常情况下,服务器所起的系统服务是不会变动的,可以排查中挖矿病毒前后系统服务的变动情况,排查确认异常后可将服务停止,并将文件打包移走


                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    


                



	

		

			

				
					
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114

				
			

			

				

					Narutolxy的博客
				

				

					01-14
					
					879
					
				

			

		

		

			
				
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。

			
		

	



                

            
              



	

		

			

				
					
Linux挖矿病毒清理流程

				
			

			

				

					ouxx2009的专栏
				

				

					03-14
					
					1万+
					
				

			

		

		

			
				
Linux挖矿病毒清理流程

1.前言:

根据阿里云快讯病毒公布:

Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害

			
		

	



              


  
              

                


	

		

			

				
					
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子

				
			

			

				

					nasen512的博客
				

				

					07-10
					
					3268
					
				

			

		

		

			
				
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。

			
		

	





	

		

			

				
					
必看!企业级 Linux 挖矿实战揭秘,附应急专杀编写攻略

					
最新发布

				
			

			

				

					qq_44606373的博客
				

				

					02-13
					
					331
					
				

			

		

		

			
				
以上案例主要入侵方式还是通过ssh爆破,尤其是遇到这种大批量被横向爆破的时候,可以分析病毒的特征针对性的编写专杀,根据个人习惯,适当选择相应的脚本程序,来达到降低工作量的目的。

			
		

	



		

			
		



	

		

			

				
					
Linux服务器挖矿病毒处理

				
			

			

				

					自己在学习过程中的总结
				

				

					06-19
					
					2960
					
				

			

		

		

			
				
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。

			
		

	





	

		

			

				
					
Linux服务器挖矿病毒彻底清除与防护实操指南

				
			

			

				

					boydoy1987的专栏
				

				

					08-07
					
					1978
					
				

			

		

		

			
				
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。

			
		

	





	

		

			

				
					
linux服务器挖矿病毒处理方案

				
			

			

				

					liu854046222的专栏
				

				

					10-22
					
					3680
					
				

			

		

		

			
				
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。

			
		

	





	

		

			

				
					
linux挖矿病毒清理

				
			

			

				

					yb890102的博客
				

				

					01-05
					
					1676
					
				

			

		

		

			
				
网络安全挖矿病毒清流,linux中毒

			
		

	





	

		

			

				
					
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒

				
			

			

				

					weixin_39542093的博客
				

				

					05-13
					
					697
					
				

			

		

		

			
				
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...

			
		

	





	

		

			

				
					
阿一网络安全学院干货科普篇之应急响应【上】

				
			

			

				

					qq_69775412的博客
				

				

					06-17
					
					1256
					
				

			

		

		

			
				
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。

			
		

	





	

		

			

				
					
网络空间安全——总结

					
热门推荐

				
			

			

				

					LinYuan
				

				

					09-10
					
					1万+
					
				

			

		

		

			
				
1 绪论
课程目标:

系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。

课程重点:

勾勒网络空间安全的框架。

课程内容安排:

安全法律法规
物理设备安全
网络攻防技术
恶意代码及防护
操作系统安全
无线网络安全
数据安全
信息隐藏
隐私保护
区块链
物联网安全
密码学基础

网络空间安全概念由来

欧洲信息安全局:网络空间安全和信息安全概...

			
		

	





	

		

			

				
					
linux中了挖矿病毒详细解决方案

				
			

			

				

					wu_qing_song的博客
				

				

					10-27
					
					5332
					
				

			

		

		

			
				
linux挖矿病毒已解决

			
		

	





	

		

			

				
					
Linux挖矿程序清除

				
			

			

				

					延成的博客
				

				

					09-01
					
					1515
					
				

			

		

		

			
				
【代码】Linux挖矿程序清除。

			
		

	





	

		

			

				
					
linux解决挖矿病毒

				
			

			

				

					qianjiu520的博客
				

				

					05-30
					
					912
					
				

			

		

		

			
				
linux解决挖矿病毒

			
		

	





	

		

			

				
					
linux服务器被植入挖矿病毒后初步解决方案

				
			

			

				

					qq_24274689的博客
				

				

					07-22
					
					3920
					
				

			

		

		

			
				
linux服务器被植入挖矿病毒后初步解决方案

			
		

	





	

		

			

				
					
Linux挖矿病毒处理方法

				
			

			

				

					s1608818981的博客
				

				

					11-17
					
					534
					
				

			

		

		

			
				
提供一个挖矿病毒的应对思路

			
		

	





	

		

			

				
					
Linux下清除挖矿病毒

				
			

			

				

					QZ9420的博客
				

				

					03-07
					
					1139
					
				

			

		

		

			
				
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令  find / -name  kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划  crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。

			
		

	





	

		

			

				
					
Linux挖矿病毒(kswapd0进程使cpu爆满)

				
			

			

				

					m0_52985087的博客
				

				

					11-07
					
					5477
					
				

			

		

		

			
				
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒

			
		

	





	

		

			

				
					
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)

				
			

			

				

					jackhanyuan的博客
				

				

					10-09
					
					2308
					
				

			

		

		

			
				
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。

			
		

	





	

		

			

				
					
linux挖矿病毒查杀

				
			

			

				

					09-10
				

			

		

		

			
				
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS记录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS记录被修改,可以通过还原DNS记录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值