【安全】查杀linux挖矿病毒 kswapd0
1、中毒现象高cpu占用,使用top命令检察cpu使用率长时间50%以上,cpu占用异常的历程八成就是挖矿病毒历程
https://i-blog.csdnimg.cn/blog_migrate/4fd90fa34b0e2ee509df2861f07ef012.png
此病毒隐蔽了自己,top命令无法检察到挖矿病毒历程,可通过sysdig命令找到隐蔽历程
1.1 安装sysdig
curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash
检察cpu占用排行
sysdig -c topprocs_cpu
https://i-blog.csdnimg.cn/blog_migrate/42cd1318673e0de9fe0c28d3d75cb667.png
1.2 通过历程Id检察病毒的文件地点
ls -l /proc/16959/exe
然后找到对应的历程文件
https://i-blog.csdnimg.cn/blog_migrate/7ffe96a0b18c3568e10c635a4bc48cab.png
该病毒有自动重启的任务,crontab -l 命令检察并清除定时任务
同时检查如下目录,将可疑文件清理掉
ls -a /root/.configrc
# 此目录下可能会有perl脚本,删除即可
ls -a /tmp
rm -rf /root/.configrc/
systemctl status pid
能查到子历程,一起kill掉
systemctl status pid
注意,该历程有子历程spamd child,需要一同清理,否则会再次重启
https://i-blog.csdnimg.cn/blog_migrate/5ff6a75d9520750926a5b0b7d8efc700.pnghttps://i-blog.csdnimg.cn/blog_migrate/d7dc3bc37e4c28d2bf9c67fd51dc6f0f.png
清除~/.ssh/known_hosts里的可疑数据,修改root密码,避免使用弱密
2、安全建议
[*]尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
[*]封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
[*]密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
[*]实时修补体系和软件弊端
3、病毒种类
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其紧张特征为通过SSH爆破攻击目标体系,同时传播基于Perl的Shellbot和门罗币挖矿木马。以是大家肯定要修改好强悍的root密码。
【安全】查杀linux上c3pool挖矿病毒xmrig
【安全】查杀linux挖矿病毒 kswapd0
【安全】查杀linux隐蔽挖矿病毒rcu_tasked
【安全】挖矿木马自助清理手册
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]