网上搜索特征
使用百度/google搜索主机的异常特征:
[1] 可疑进程名
[2] 可疑域名/IP流量
[3] 可疑定时任务
[4] 可疑文件路径
可疑进程名
使用top命令查看CPU占用率最高的挖矿进程名,如下:sysupdate。
如下,搜索“sysupdate 挖矿”关键字。
可疑域名/IP流量
搜索网关报警的域名,如下:w.3ei.xyz:43768/crontab.sh。
使用netstat -antp命令寻找可疑网络连接,如下:136.243.90.99。
可疑定时任务
使用crontab -l命令查看主机定时任务,搜索可疑的项,如下:45.79.9.153:8000/i.sh。
可疑文件路径
在/tmp/和/root/目录下寻找可疑的文件/文件夹,如下:.firefoxcatche。
流行病毒家族特征
存在可疑定时任务的病毒家族
DDG
存在i.sh字符串的定时任务。
SystemdMiner
在/var/spool/cron/和/etc/cron.d/目录下存在base64编码的恶意sh脚本。
StartMiner
存在start.jpg字样的定时任务。
LSDMiner
初始版本,定时任务里存在pastebin.com的字符串。
然后,中间版本,定时任务里存在lsd.systemten.org的字符串。
最新版本,定时任务里存在aliyun.one的字符串。
XorDDos
定时任务包含gcc.sh的字符串。
存在可疑文件名的病毒家族
Billgates
在/tmp目录下有gates.lod、moni.lod文件。
DDG
tmp目录下有ddgs.+数字的ELF文件。
SystemdMiner
在/root目录和/opt目录下存在随机名sh脚本。
StartMiner
/tmp目录下存在名为x86_*的病毒文件。
清除步骤
清除病毒3步走:
[1] 定位挖矿进程&病毒文件
[2] 清除病毒进程&文件
[3] 检查定时任务
定位挖矿进程&病毒文件
使用top命令定位挖矿进程,找到CPU占用率最高的那个进程。
使用ls /proc[pid]/exe命令定位文件路径。
清除病毒进程&文件
使用命令kill -9 [pid]结束病毒进程,使用命令rm -rf [filepath/dir_path]删除对应的文件/文件夹。
检查定时任务
使用命令crontab -l查看主机是否存在可疑定时任务。
使用命令ls -l /etc/cron.d查看可疑定时任务文件。
使用命令crontab -r,清空定时任务(PS:确认主机没有业务定时任务后可以使用)。
或使用命令grep -r “[关键字]” /var/spool/cron,删除指定定时任务。
使用命令rm /etc/cron.d/[file],删除定时任务文件。
文件&定时任务删除失败
文件删除时提示操作不被允许,都是因为文件被加上了i或a属性,把这2个属性去掉就可以成功删除了。
删除定时任务时提示权限不足;
使用lsattr查看文件属性,通过chattr清除属性后成功删除。
文件&定时任务删完又出现
文件&定时任务删完又反复出现有两种情况,病毒对系统文件进行了劫持,或存在残留病毒进程,反复创建病毒文件。
ss、netstat、ps、lsof命令被替换为病毒文件,需要将原文件删掉,再将纯净的文件放进去。
存在如curl、wget等下载进程,反复下载病毒文件。
也有可能是恶意进程在守护,先把可疑进程杀掉。
病毒进程杀完又被拉起
关键字搜索主机上的可疑进程:sh、wget、curl、xmr、mine、ssh。
找到父进程,结束整个进程树,如下,需要把红色字体的进程都杀掉。
主机卡顿但找不到挖矿进程
主机异常但找不到可疑进程,很可能是病毒通过劫持系统命令进行了隐藏,需要使用busybox工具来进行排查。
系统CPU占用率高,但没发现挖矿进程。
使用busybox的top命令,成功发现挖矿进程及母体进程。
busybox下载地址:
wget http://www.busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64
主机清理干净后又感染病毒
确保主机上的病毒已经清干净后,但还是再次感染,这种情况肯定是病毒又通过网络再次入侵进来了,需要排查ssh及漏洞相关的风险。
检查ssh是否为弱密码,及~/.ssh/authorized_keys中是否保存有免密公钥
Redis未授权访问漏洞
