专业建站公司设计,网页设计代码有主页面吗,微营销,国家公示企业信息查询01 什么是挖矿病毒
挖矿病毒通常是恶意软件的一种#xff0c;它会在受感染的系统上无授权地挖掘加密货币。关于syst3md#xff0c;是一种特定的挖矿病毒#xff0c;它通过在受感染的Linux系统中执行一系列复杂操作来达到其目的。这些操作包括使用curl从网络下载…01 什么是挖矿病毒
挖矿病毒通常是恶意软件的一种它会在受感染的系统上无授权地挖掘加密货币。关于syst3md是一种特定的挖矿病毒它通过在受感染的Linux系统中执行一系列复杂操作来达到其目的。这些操作包括使用curl从网络下载病毒并执行随后删除病毒文件以隐藏其痕迹。病毒可能会利用系统的弱点或不安全的配置如SSH服务被暴力破解来传播和执行其恶意活动。
02 服务器遭受挖矿病毒的一些症状
CPU要爆了谁敢跑满一半CPU病毒敢 伪装者rcu-sched 03 什么原因导致的被病毒入侵进攻
3.1 外网打开由于在github或者某些网站下载数据或程序导致IP被追踪然后摸着线进来了顺藤摸瓜。这个瓜就是自己的服务器
3.2 某些账户的密码强度过弱被暴力破解嘎了尤其是这个账户之前登陆过root账户有过切换。
这么他就黑进去shh然后创建自己的定时任务和病毒账户生成一个杀不死的挖矿病毒。
04 如何解决
4.1 最好关闭外网
systemctl stop skynet.service # 关闭外网
4.2 关闭内网穿透
systemctl stop frpc #关闭穿透
准备好关门打狗
4.3 关闭定时任务并清空
有枣没枣打两杆子全部清空
crontab -l #查看如果都是非正常定时脚本直接全部姗除。
crontab -r #全部删除
4.4 top找到进程lsofgrep寻找文件出处
lsof -p pid #这个查看top
ps -aux| grep rcu-sched #这个查看top 4.5 查看进程的环境变量/proc/pid/environ
可以在/proc/pid/environ中查看该进程的初始环境
cat /proc/121332/environ
XDG_SESSION_ID43793HOSTNAMEbogonTERMxtermSHELL/bin/bashHISTSIZE1000QTDIR/usr/lib64/qt-3.3QT_GRAPHICSSYSTEM_CHECKED1USERrootLS_COLORSrs0:di01;34:ln01;36:mh00:pi40;33:so01;35:do01;35:bd40;33;01:cd40;33;01:or40;31;01:mi01;05;37;41:su37;41:sg30;43:ca30;41:tw30;42:ow34;42:st37;44:ex01;32:*.tar01;31:*.tgz01;31:*.arc01;31:*.arj01;31:*.taz01;31:*.lha01;31:*.lz401;31:*.lzh01;31:*.lzma01;31:*.tlz01;31:*.txz01;31:*.tzo01;31:*.t7z01;31:*.zip01;31:*.z01;31:*.Z01;31:*.dz01;31:*.gz01;31:*.lrz01;31:*.lz01;31:*.lzo01;31:*.xz01;31:*.bz201;31:*.bz01;31:*.tbz01;31:*.tbz201;31:*.tz01;31:*.deb01;31:*.rpm01;31:*.jar01;31:*.war01;31:*.ear01;31:*.sar01;31:*.rar01;31:*.alz01;31:*.ace01;31:*.zoo01;31:*.cpio01;31:*.7z01;31:*.rz01;31:*.cab01;31:*.jpg01;35:*.jpeg01;35:*.gif01;35:*.bmp01;35:*.pbm01;35:*.pgm01;35:*.ppm01;35:*.tga01;35:*.xbm01;35:*.xpm01;35:*.tif01;35:*.tiff01;35:*.png01;35:*.svg01;35:*.svgz01;35:*.mng01;35:*.pcx01;35:*.mov01;35:*.mpg01;35:*.mpeg01;35:*.m2v01;35:*.mkv01;35:*.webm01;35:*.ogm01;35:*.mp401;35:*.m4v01;35:*.mp4v01;35:*.vob01;35:*.qt01;35:*.nuv01;35:*.wmv01;35:*.asf01;35:*.rm01;35:*.rmvb01;35:*.flc01;35:*.avi01;35:*.fli01;35:*.flv01;35:*.gl01;35:*.dl01;35:*.xcf01;35:*.xwd01;35:*.yuv01;35:*.cgm01;35:*.emf01;35:*.axv01;35:*.anx01;35:*.ogv01;35:*.ogx01;35:*.aac01;36:*.au01;36:*.flac01;36:*.mid01;36:*.midi01;36:*.mka01;36:*.mp301;36:*.mpc01;36:*.ogg01;36:*.ra01;36:*.wav01;36:*.axa01;36:*.oga01;36:*.spx01;36:*.xspf01;36:SUDO_USERserverSUDO_UID1042USERNAMErootMAIL/var/spool/mail/serverPATH/data/apps/miniconda/bin:/sbin:/bin:/usr/sbin:/usr/bin:/opt/biosoft/mafft/bin/:/sbin:/bin:/usr/sbin:/usr/bin:/opt/biosoft/mafft/bin/PWD/dev/shm/.ICE-unixLANGen_US.UTF-8MODULEPATH/usr/share/Modules/modulefiles:/etc/modulefilesKDEDIRS/usrLOADEDMODULESHOME/rootSUDO_COMMAND/bin/suSHLVL2LOGNAMErootXDG_DATA_DIRS/root/.local/share/flatpak/exports/share:/var/lib/flatpak寻找得到SUDO_USERserver 异常账户需要删除
USERNAMErootMAIL/var/spool/mail/server 异常邮件地址需要删除异常账户寻找得到 PWD/dev/shm/.ICE-unix 病毒地址这里和上一步保持一致
4.6 杀死进程kill-9 pid 防止死灰复燃
kill -9 pid
killall -9 pid
4.7 进入病毒文件夹并删除注意他以.开头命令常规rm删不掉
cd /dev/shm/.ICE-unix
rm -rf ./*4.7.1 chattr -i增加权限
删不掉可能权限不够或者这个病毒权限已经修改锁死了高级病毒就这样
chattr -ia 病毒文件 ##增加可删除权限
或
sudo chattr -ia 病毒文件
sudo chattr -i 病毒文件
以上两种方式均可
4.7.2 病毒保护进程systemctl status
什么这个病毒有保护进程先杀保护进程确定保护进程文件夹位置关门打狗删除
systemctl status 病毒进程现实的保护进程全部 kill -9然后删掉保护进程文件然后再去动病毒再次查看进程 ps aux|grep 病毒rm -rf 绝对路径的病毒保护进程文件夹4.8 删除病毒创建的用户及其邮箱
userdel -r 用户 #彻底删除病毒账户
4.9 修改被进攻的账户密码继续关门 开始给暴力破解的账户修改密码
passwd 用户
newpasswordretype4.10 死灰复燃了因为没删干净定时任务
进入root权限系统文件查看最近被修改的文件夹 ls -lt | head -n 10 #查看近期修改的文件夹逐级查看
再次排查定时任务文件架时间不对的全删了
cd /var/spool/cron #删掉病毒当天的全部文件被攻击账户除外修改密码即可或者进入这个账户删去脚本
4.11 排查/dev /tmp /home /root 等时间被修改的找到小贼清空/tmp
rm -rf ./* ./.I*
4.12 top查看没有死灰复燃搞定
05 小结
关门大狗大发小结
1 关闭外网
2 寻找病毒进程及其保护进程文件地址
3 修改被攻击账户密码
4 删除掉定时任务清理定时任务文件夹
5 杀死病毒及其保护进程进程并删除文件
6 删掉病毒当天时间戳文件可能被修改或者病毒利用
一折腾一个晚上一个上午过去了啊写论文的时间又少了可恶的病毒
06 参考文献
傅继晗. 基于动态特征分析的网页挖矿劫持攻击识别模型[D]. 浙江理工大学, 2023. DOI:10.27786/d.cnki.gzjlg.2023.000804. 何晓明. 基于Linux服务器挖矿病毒处置策略和防御策略研究 [J]. 电脑编程技巧与维护, 2022, (08): 3-647. DOI:10.16184/j.cnki.comprg.2022.08.052. 赵文军. 挖矿病毒处理案例分析及思考 [J]. 现代信息科技, 2020, 4 (12): 145-147. DOI:10.19850/j.cnki.2096-4706.2020.12.045. 冯彬,黄小飞. Linux服务器安全防范 [J]. 电子技术与软件工程, 2018, (15): 181-182.
廖保生. 黄花蒿单倍型染色体组装及结构变异对青蒿素生物合成影响解析[D]. 中国中医科学院, 2021. DOI:10.27658/d.cnki.gzzyy.2021.000032.
