挖矿病毒来势汹汹

病毒来了, 我的个人站点使用了 wordpress, 它的不知哪个漏洞让黑客攻入了我的站点

使用 top 命令看到了有不明进程始终占据了 100% 的 CPU

snapshot 1

snapshot 2

通过以下 "三板斧"可以查杀这个进程

先用 top (shift+p) 查找占据 CPU 最多的进程
根据其进程号 pid 查看这个进程在哪里

$ sudo ls -l /proc/$pid/cwd
$ sudo ls -l /proc/$pid/exe
$ sudo cat /proc/$pid/cmdline
$ sudo cat /proc/$pid/environ

先杀后删

$ kill -9 $pid
$ rm -f $proc_location

上面这三板斧经常没什么用, 一会儿它又起来了, 通过 'crontab -l' 也没看到有 cronjob 存在, 不过可以断定它是通过 wordpress docker 的 php 进程侵入进来了, 于是更新 docker image, 删除 9000 端口映射, 重启 docker 进程, 暂时没有再发现有可疑进程.

针对挖矿病毒的开源和免费检测及防护工具有不少，需要花钱的不说, 有些开源或免费的可以尝试用来保护你的服务器：

1. ClamAV

类型: 开源防病毒软件
特点:
- ClamAV 是一款跨平台的开源防病毒引擎，主要用于检测和移除多种类型的恶意软件，包括挖矿病毒。
- 它可以集成到邮件服务器、Web服务器等系统中，用于实时监控和防护。
- 定期更新病毒库，具有较强的可定制性。
官网: ClamAV

2. Malwarebytes

类型: 免费和付费版本的恶意软件清除工具
特点:
- 虽然主要功能是恶意软件检测，但它的免费版本可以扫描系统并移除挖矿病毒和恶意软件。
- 付费版本有实时防护功能，可以防止浏览器加载挖矿脚本。
- 易于使用，适合个人和小型企业。
官网: Malwarebytes

3. NoCoin

类型: 浏览器扩展
特点:
- NoCoin 是一款免费开源的浏览器扩展，旨在阻止浏览器挖矿脚本的执行。
- 支持 Chrome、Firefox 和其他基于 Chromium 的浏览器，能够拦截常见的 JavaScript 挖矿脚本。
- 轻量级且不影响浏览体验，是防止“浏览器挖矿”非常有效的工具。
GitHub: NoCoin GitHub

4. MinerBlock

类型: 浏览器扩展
特点:
- MinerBlock 是另一个用于浏览器的开源扩展，类似于 NoCoin，专门防止恶意挖矿脚本在浏览器上运行。
- 它通过阻止已知的挖矿域名和嵌入的挖矿脚本来起到防护作用。
- 可以动态检测并阻止新的挖矿行为，不需要频繁更新列表。
官网: MinerBlock

5. Chkrootkit

类型: 开源 rootkit 检测工具
特点:
- Chkrootkit 是用于检测和移除 rootkit 的轻量级开源工具，可以检测隐藏的挖矿病毒及恶意软件。
- 通过扫描系统中可疑的二进制文件和进程，它能够发现已知的恶意软件。
- 尤其适用于 Linux 环境的挖矿病毒检测。
官网: Chkrootkit

6. rkhunter (Rootkit Hunter)

类型: 开源 rootkit 检测工具
特点:
- Rootkit Hunter 是一个跨平台的开源工具，专门用于检测 rootkit、后门程序以及其他恶意软件，能够帮助发现隐藏的挖矿病毒。
- 它会检查系统中的隐藏文件、可疑权限、特洛伊木马和rootkit。
- 支持 Linux 和 Unix 系统，适合服务器环境中的恶意挖矿检测。
官网: rkhunter

7. Cudo Miner

类型: 免费的挖矿管理工具(带检测功能)
特点:
- Cudo Miner 主要是一款合法的加密货币挖矿软件，但它也带有防止恶意挖矿的功能。
- Cudo Miner 会监控系统资源使用情况，帮助用户识别是否存在其他恶意挖矿行为，从而防止不必要的资源浪费。
- 尤其适合对加密货币挖矿感兴趣但又担心挖矿病毒的用户。
官网: Cudo Miner