Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案

问题描述

Linux进程 

阿里云管理控制台看看CPU占用率

解决方案 

 

top命令

获取进程号

查看进程运行的文件位置

ls 命令

ls -l proc/{进程号}/exe

sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

病毒脚本分析

即update.sh:

1,在 /root/.ssh/authorized_keys里面,添加病毒投放者的公钥,保证其可以使用 SSH 登录到服务器。

2,下载

config.json (挖矿配置)、

sysupdate (XMR 挖矿软件)、

update.sh (病毒主脚本)、

networkservice(scanner扫描并入侵其他的主机)、

sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)

并保证他们以 root 权限运行。

3,kill其他的挖矿病毒(优秀。。。)。

................................

删除定时任务

rm /var/spool/cron/root 或crontab -r

杀掉进程

kill命令

kill -9 {进程号}

删除文件

文件无法直接删除,因为一般病毒会使用chattr +i命令。

我们使用

chattr -i sysupdate
rm -f sysupdate 
chattr -i networkservice
rm -f networkservice
chattr -i sysguard
rm -f sysguard
chattr -i update.sh
rm -f update.sh
chattr -i config.json
rm -f config.json

对于/root/.ssh/authorized_keys文件可以选择删除或修复

不能确定病毒投放者的KEY时建议全部删除。

其他问题 

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1、修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

2、wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来

mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

3、恢复防火墙配置

这里给出病毒脚本修改的iptables配置的语句,方便读者修复

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload

如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。 

参考文章 

https://notes.daiyuhe.com/clear-linux-mining-virus/

https://blog.csdn.net/weixin_41762839/article/details/105113868

https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页