文章目录
- Linux服务器挖矿病毒处理
- 1.中毒表现
- 2.解决办法
- 2.1 断网并修改root密码
- 2.2 找出隐藏的挖矿进程
- 2.3 关闭病毒启动服务
- 2.4 杀掉挖矿进程
- 3. 防止黑客再次入侵
- 3.1 查找异常IP
- 3.2 封禁异常IP
- 3.3 查看是否有陌生公钥
- 补充知识
- 参考
Linux服务器挖矿病毒处理
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。
注:由于此博客是在处理完之后所写,因此相应的图片没有截取,但是如果上述情况一致的话,按照下述流程操作应该会对你有所帮助。
1.中毒表现
服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。中毒表现有如下几点:
- 在没有使用软件的情况下,CPU使用率很高(使用
top或者htop查看系统内存占用情况)。 - 通过
netstat -natp发现有异常IP地址。 - 发热极其严重,风扇狂转。
- 服务器莫名其妙突然卡顿。
2.解决办法
2.1 断网并修改root密码
在发现中了挖矿病毒后,一定要首先断网并修改root密码!!!
2.2 找出隐藏的挖矿进程
这里利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。
# 安装 sysdig
sudo apt install sysdig
# 安装 unhide
sudo apt install unhide
# 输出cpu占用的排行,可以显示出隐藏的进程
sudo sysdig -c topprocs_cpu
# 搜索隐藏进程,proc目录下保存的是所有正在运行程序的进程ID,即PID
sudo unhide proc
这时就找到了挖矿病毒的PID,但是直接kill -9 PID杀死进程后就会发现不到1分钟的时间,就会有一个新的挖矿进程出现,因此这个挖矿进程肯定是被什么服务所启动的,接下来我们便需要找到这个服务并将其关闭。
2.3 关闭病毒启动服务
通过上面unhide proc发现的隐藏进程,利用systemctl status PID来检查 systemd 管理的服务或者进程状态,来看一下该病毒到底是如何被启动的。
systemctl status 3084 # 3084为病毒的PID
查看输出的CGroup段信息,可以看到一个后缀为.service的服务,该服务就是病毒的启动服务。
# 终止病毒启动服务
systemctl stop xxxxX.service
# 终止挖矿服务的开机自启
systemctl disable xxxxX.service
2.4 杀掉挖矿进程
在关闭了挖矿病毒的启动服务之后,现在就可以将挖矿进程kill了。kill之后,CPU恢复正常,并且也没有了隐藏进程。
kill -9 PID
3. 防止黑客再次入侵
3.1 查找异常IP
# 通过 netstat -natp 显示网络相关信息,查看是否存在异常IP
netstat -natp
将查到的异常IP直接在百度中输入就可以看到该IP的一些信息。
3.2 封禁异常IP
利用防火墙 iptables 对异常IP进行封禁。
# 对异常IP封禁
sudo iptables -I INPUT -s IP -j DROP
# 检查是否已经成功添加
iptables -L INPUT -v -n
默认情况下,通过 iptables 添加的规则在系统重启后会丢失。如果希望规则在重启后依然有效,需要将规则保存到配置文件中。可以使用 iptables-persistent 工具来实现。
# 安装iptables-persistent
sudo apt-get install iptables-persistent
# 将规则保存到配置文件
sudo netfilter-persistent save
# 设置为开机自启
systemctl enable iptables
# 打开服务
systemctl start iptables
3.3 查看是否有陌生公钥
cat ~/.ssh/authorized_keys
如果有陌生公钥立即删掉。
补充知识
在刚开始查看了网上很多的资料,试着用了这个命令ps -ef | grep kdevtmpfsi,来看自己服务器是不是中了 kdevtmpfsi 病毒,然后发现每次只显示一个有关 kdevtmpfsi 的进程,而且每次都会变化。我竟然认为是病毒太强了,每次都会变化进程ID,真被自己蠢哭了😭😭😭。后来知道每次的那一行输出是grep kdevtmpfsi命令本身的进程,由于grep正在查找字符串 kdevtmpfsi,它自身的进程也匹配这个查找条件,所以它出现在输出中。
ps -ef | grep kdevtmpfsi命令解释:列出所有正在运行的进程,并在这些进程中查找名称或命令行中包含 kdevtmpfsi 的进程,显示这些进程的信息。
ps是一个显示当前运行进程的命令。-e选项显示所有进程。-f选项显示完整格式的输出,包括进程的 PID、父进程的 PID、启动时间、TTY、累计 CPU 时间、命令等。- 管道符号
|用于将前一个命令的输出作为下一个命令的输入。 grep是一个搜索工具,用于在输入中查找符合特定模式的行。kdevtmpfsi是grep要查找的模式。在这种情况下,它是在所有进程输出中查找包含kdevtmpfsi的行。
参考
- 记录一次服务器被挖矿经历…
- 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?本文带你彻底杀毒!
- Linux 病毒扫描工具:ClamAV 配置使用教程
😃😃😃
