【实战】记录一次服务器挖矿病毒处理

信息收集及kill：

查看监控显示长期CPU利用率超高，怀疑中了病毒

在这里插入图片描述

top 命令查看进程资源占用：
在这里插入图片描述
netstat -lntupa 命令查看有无ip进行发包

netstat -antp

然而并没有找到对应的进程名

查看java进程和solr进程

在这里插入图片描述

ps aux ：查看所有进程
在这里插入图片描述
除相关进程：kill -9（无条件退出进程）

为了防止有定时任务，再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务

在这里插入图片描述居然没有？？？？

保存样本，删除木马进程文件：

find / -name kdevtmpfsi ：查找进程文件（需要root权限）

在这里插入图片描述想要分析这个病毒样本，于是使用sz命令，将进程文件下载

ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing

命令列出恶意进程及其端口号

正常来说用kill -9直接删除“kdevtmpfsi”和“kinsing”就可以结束这个事件了

之后cd入文件 em -rf [文件名] 将进程文件全部删除：
在这里插入图片描述
或（删除全部相关文件）

find / -name "kinsing*" | xargs rm -rf

断后路：

last 查看登录日志ip
在这里插入图片描述

封禁异常ip

iptables -I INPUT -s 183.202.22.0/24 -j DROP

其他ip相关操作：

查看：iptables -L -n -v --line-numbers
封禁：iptables -I INPUT -s 123.45.6.0/24 -j DROP

ipset

ipset create ipban hash:ip,port hashsize 4096 maxelem 1000000 timeout 100 #加入集合 i
pset del ipban x.x.x.x # 从 ipban 集合中删除内容ipset list ipban # 查看 ipban 集合内容 
ipset list # 查看所有集合的内容 
ipset flush ipban # 清空 ipban 集合ipset flush # 清空所有集合ipset destroy ipban # 销毁 ipban 集合ipset destroy # 销毁所有集合ipset save ipban # 输出 ipban 集合内容到标准输出ipset save # 输出所有集合内容到标准输出ipset restore # 根据输入内容恢复集合内容

联合

iptables -I INPUT -m set --match-set ipban src -j DROP

后续及病毒扫描安装：

后来这个进程还是会冒出来，猜测应该还是又其他新的守护进程

经过重复测试，每次kill 掉kdevtmpfsi 进程，就会有一个 YDService 进程出现

重复上述操作，删除进程文件以及kill该进程

考虑到主要原因在于服务器的配置策略以及安全性不足导致
安装linux杀毒工具clamAV：

apt-get install clamav clamav-freshclam

freshclam即为病毒扫描进程

在这里插入图片描述

更新

为防止蠕虫传播，必须经常检查更新，ClamAV用户需要经常执行freshclam，检查间隔为30分钟。由于ClamAV用户数量过大，托管病毒数据库文件的服务器很容易过载。如果直接执行freshclam从公网更新会很慢，可以通过搭建私有镜像源进行内网分发

cat /etc/cron.d/clamav-update  
##每三个小时执行更新
0  */3 * * * root /usr/share/clamav/freshclam-sleep
##更新病毒库
freshclam
##病毒库文件
/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd

ClamAV扫描病毒

Clamscan 可以扫描文件、用户目录或者整个系统

##扫描文件
clamscan targetfile
##递归扫描home目录，并且记录日志
clamscan -r -i /home  -l  /var/log/clamscan.log
##递归扫描home目录，将病毒文件删除，并且记录日志
clamscan -r -i /home  --remove  -l /var/log/clamscan.log
##建议##扫描指定目录，然后将感染文件移动到指定目录，并记录日志
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log

周期自动扫描病毒

##每天凌晨11点进行文件扫描
crontab -e
0 23 * * * root  /usr/local/bin/clamscan.sh
##配置扫描文件
vim /usr/local/clamscan.sh
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log