• Linux服务器挖矿病毒处理


    Linux服务器挖矿病毒处理

    情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。

    注:由于此博客是在处理完之后所写,因此相应的图片没有截取,但是如果上述情况一致的话,按照下述流程操作应该会对你有所帮助。

    1.中毒表现

    服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。中毒表现有如下几点:

    • 在没有使用软件的情况下,CPU使用率很高(使用top或者htop查看系统内存占用情况)。
    • 通过netstat -natp发现有异常IP地址。
    • 发热极其严重,风扇狂转。
    • 服务器莫名其妙突然卡顿。

    2.解决办法

    2.1 断网并修改root密码

    在发现中了挖矿病毒后,一定要首先断网并修改root密码!!!

    2.2 找出隐藏的挖矿进程

    这里利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。

    # 安装 sysdig
    sudo apt install sysdig
    # 安装 unhide
    sudo apt install unhide
    
    # 输出cpu占用的排行,可以显示出隐藏的进程
    sudo sysdig -c topprocs_cpu
    
    # 搜索隐藏进程,proc目录下保存的是所有正在运行程序的进程ID,即PID
    sudo unhide proc
    

    这时就找到了挖矿病毒的PID,但是直接kill -9 PID杀死进程后就会发现不到1分钟的时间,就会有一个新的挖矿进程出现,因此这个挖矿进程肯定是被什么服务所启动的,接下来我们便需要找到这个服务并将其关闭。

    2.3 关闭病毒启动服务

    通过上面unhide proc发现的隐藏进程,利用systemctl status PID来检查 systemd 管理的服务或者进程状态,来看一下该病毒到底是如何被启动的。

    systemctl status 3084  # 3084为病毒的PID
    

    查看输出的CGroup段信息,可以看到一个后缀为.service的服务,该服务就是病毒的启动服务。

    # 终止病毒启动服务
    systemctl stop xxxxX.service
    # 终止挖矿服务的开机自启
    systemctl disable xxxxX.service 
    

    2.4 杀掉挖矿进程

    在关闭了挖矿病毒的启动服务之后,现在就可以将挖矿进程kill了。kill之后,CPU恢复正常,并且也没有了隐藏进程。

    kill -9 PID
    

    image-20240619121429944

    3. 防止黑客再次入侵

    3.1 查找异常IP

    # 通过 netstat -natp 显示网络相关信息,查看是否存在异常IP
    netstat -natp
    

    将查到的异常IP直接在百度中输入就可以看到该IP的一些信息。

    Alt

    3.2 封禁异常IP

    利用防火墙 iptables 对异常IP进行封禁。

    # 对异常IP封禁
    sudo iptables -I INPUT -s IP -j DROP
    # 检查是否已经成功添加
    iptables -L INPUT -v -n
    

    默认情况下,通过 iptables 添加的规则在系统重启后会丢失。如果希望规则在重启后依然有效,需要将规则保存到配置文件中。可以使用 iptables-persistent 工具来实现。

    # 安装iptables-persistent
    sudo apt-get install iptables-persistent
    # 将规则保存到配置文件
    sudo netfilter-persistent save
    # 设置为开机自启
    systemctl enable iptables
    # 打开服务
    systemctl start iptables
    

    3.3 查看是否有陌生公钥

    cat ~/.ssh/authorized_keys
    

    如果有陌生公钥立即删掉。

    补充知识

    在刚开始查看了网上很多的资料,试着用了这个命令ps -ef | grep kdevtmpfsi,来看自己服务器是不是中了 kdevtmpfsi 病毒,然后发现每次只显示一个有关 kdevtmpfsi 的进程,而且每次都会变化。我竟然认为是病毒太强了,每次都会变化进程ID,真被自己蠢哭了😭😭😭。后来知道每次的那一行输出是grep kdevtmpfsi命令本身的进程,由于grep正在查找字符串 kdevtmpfsi,它自身的进程也匹配这个查找条件,所以它出现在输出中。

    ps -ef | grep kdevtmpfsi命令解释:列出所有正在运行的进程,并在这些进程中查找名称或命令行中包含 kdevtmpfsi 的进程,显示这些进程的信息。

    • ps 是一个显示当前运行进程的命令。
    • -e 选项显示所有进程。
    • -f 选项显示完整格式的输出,包括进程的 PID、父进程的 PID、启动时间、TTY、累计 CPU 时间、命令等。
    • 管道符号 | 用于将前一个命令的输出作为下一个命令的输入。
    • grep 是一个搜索工具,用于在输入中查找符合特定模式的行。
    • kdevtmpfsigrep 要查找的模式。在这种情况下,它是在所有进程输出中查找包含 kdevtmpfsi 的行。

    参考

    😃😃😃

  • 相关阅读:
    02【Spring注解开发、JdbcTemplate、整合Junit】
    20天拿下华为OD笔试之【模拟】2023B-阿里巴巴找黄金宝箱(1)【欧弟算法】全网注释最详细分类最全的华为OD真题题解
    微服务feign接口声明的3种方式使用与分析
    “第六十四天” 字扩展和位扩展,外部存储器
    方舟生存进化下载服务器文件及搜服方法
    网络流行简笔画图片大全,关于网络的简笔画图片
    docker 部署专业版 Thingsboard 集群
    策略模式(设计模式)
    了解计算机里非门组成的部分
    扩展-Hooks
  • 原文地址:https://blog.csdn.net/weixin_48958956/article/details/139812765