zoukankan      html  css  js  c++  java
  • Linux下挖矿病毒解决记录

    一、病毒特征(sysupdate、networkservice)

    内存占用率极高,使用top指令,%CPU下占用内存的程序为sysupdate、networkservice
    查看定时任务日志,可观察/etc/update.sh反复运行

    more /var/log/cron log | grep "update"
    # 日志输出下面的语句
    Jun 22 09:00:02 localhost CROND[23069]: (redis) CMD (sh /etc/update.sh >/dev/null 2>&1)
    

    二、病毒入侵漏洞

    病毒为挖矿病毒,利用Redis的未授权访问漏洞进行攻击。
    Redis 默认配置为6379端口无密码访问,如果redis以root用户启动,攻击者可以通过公网直接链接redis,向root账户写入SSH公钥文件,以此获取服务器权限注入病毒。

    三、杀毒

    1. 命令行直接输入top语句,获取病毒的PID.

    2. 查看病毒文件地址

    # 输入 ls -l /proc/#{病毒PID}/exe  查看病毒路径为/etc
    # 或者输入 systemctl status #{病毒PID}
    # 关注CGROUP显示的文件
    

    图片示例

    3. 杀死病毒进程

    kill -9 #{病毒PID}
    

    4. 删除定时任务

    cd  /var/spool/cron
    ls
    # 删除文件名和病毒名称一致的文件
    chattr -i redis
    rm -rf redis
    

    5. 将病毒文件解除锁定并删除

    # 解除锁定 chattr -i #{文件名}
    # 删除文件 rm -rf #{文件名}
    # 文件名: /etc/sysupdate  /etc/sysupdates /etc/update.sh /etc/config.json /etc/sysguard /etc/networkservice
    chattr -i sysupdate sysupdates update.sh config.json sysguard networkservice
    rm -rf sysupdate sysupdates update.sh config.json sysguard networkservice
    

    6. 解除SSH公钥后门

    # 解除锁定
    chattr -i /root/.ssh/authorized_keys
    # 编辑权限
    chmod 777 /root/.ssh/authorized_keys
    # 清空authorized_keys
    vi /root/.ssh/authorized_keys
    # 清空后恢复权限
    chmod 400 /root/.ssh/authorized_keys
    # 锁定authorized_keys
    chattr +i /root/.ssh/authorized_keys
    # 防止通过重命名.ssh文件夹绕过设置
    chattr +i /root/.ssh
    

    7. 堵上Redis的漏洞

    自行选择解决方案:

    • 更改redis访问端口
    • 设置redis密码
    • 以低权限运行 Redis 服务。
  • 相关阅读:
    【数据结构栈应用系列】括号匹配
    【二叉树系列】二叉树课程大作业
    Tomcat在Linux上的安装与配置
    索引介绍及创建与删除索引
    Java 内存溢出(java.lang.OutOfMemoryError)的常见情况和处理方式总结
    Tomcat的配置文件server.xml叙述
    问题及解决方法
    Oracle DB 查看预警日志
    报表简介
    Nginx负载均衡与反向代理—《亿级流量网站架构核心技术》
  • 原文地址:https://www.cnblogs.com/hyry/p/13175911.html
Copyright © 2011-2022 走看看