linux 病毒/挖矿攻击处理

4,387 阅读3分钟

1.kswapd0挖坑病毒

# 1.查看cpu已经拉满
top  
# 6885 vboxuser  20   0 2501968   2.3g      4 S  1429  3.7 113138:14 kswapd0
# %CPU 1429

# 2. 查看kswapd0 的ip
netstat -antlp | grep kswapd0
#tcp        0      1 192.168.0.13:40346      45.9.148.234:80         SYN_SENT    6885/./kswapd0
#tcp        0      0 192.168.0.13:45484      45.9.148.236:443        ESTABLISHED 6885/./kswapd0
# 显示的是国外的ip

# 3. 查看进程详情
ll /proc/6885
# lrwxrwxrwx  1 vboxuser vboxusers 0 Apr 12 01:26 exe -> /home/vboxuser/.configrc5/a/kswapd0
# 找到关键信息 执行命令脚本位置

# 4. 查看进程空间信息
ps -ef | grep kswapd0
# root       105     2  0 Mar05 ?        00:11:13 [kswapd0]
# root      5535 27210  0 09:40 pts/1    00:00:00 grep --color=auto kswapd0
# vboxuser  6885     1 99 Apr09 ?        78-15:06:07 ./kswapd0

# 5. 删除木马的脚本
rm -rf /home/vboxuser/.configrc5

# 6. 清除定时任务
crontab -l # 查看是否有任务
crontab -e # 编辑并清除

# 7. 杀死kswapd0相关进程
kill -9 6885
kill -9 105

# 8. 查询并杀死有问题的作业程序
ps aux | grep cron
kill -9 xxx

# 9. 检查 ssh秘钥登录是否被篡改 
vi .ssh/authorized_keys # 编辑有歧义的账户秘钥信息

# 10. 修复原服务器的密码 



## 11.加入定时删除
# 创脚本
vi /tmp/kill_kswapd0.sh
#输入定时命令
ps -aux | grep kswapd0 |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -rf /home/vboxuser/.configrc5
# 给予执行权限
chmod 755 /tmp/kill_kswapd0.sh
# 先手动执行一下,杀一遍进程
/tmp/kill_kswapd0.sh
# 加入定时任务
crontab -e
#输入内容
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
# 保存退出

2.kdevtmpfsi挖矿病毒

通过定时任务定期杀死病毒进程

# 1.查看cpu已经拉满
top   
 
# 2. 查看进程空间信息,确实存在
ps -ef | grep kdevtmpfsi

# 3. 创脚本
vim /tmp/kill_kdevtmpfsi.sh

#输入定时命令
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi

# 4. 给予执行权限
chmod 755 /tmp/kill_kdevtmpfsi.sh

# 5. 先手动执行一下,杀一遍进程
/tmp/kill_kdevtmpfsi.sh

# 加入定时任务
crontab -e
#输入内容
*/1 * * * * /tmp/kill_kdevtmpfsi.sh

# 保存退出

3. watchdogs病毒


# 1.查看cpu已经拉满
top 

# 2. 查看进程watchdogs ,一般watchdog正常,watchdogs是病毒
ps -ef|grep watchdogs
# root      4513 48344  0 16:40 pts/1    00:00:00 grep --color=auto watchdogs
# user1    63646     1 39 Apr13 ?        23:04:04 ./watchdogs ssh failed kthread watchdog
# user1    65297     1 37 09:39 ?        02:38:48 ./watchdogs ssh failed kthread watchdog

# 3. 处理用户
# user1 用户已经暴露,如果用户没有哦重要信息,直接删除
userdel -r user1
# 提示用户被进程38188 占用
# userdel: user user1 is currently used by process 38188
#杀掉 38188
kill -9 38188

# 找出当前用户关联的所有进程
pgrep -u user1
# 38188
# 58794
# 50457

ps -f --pid $(pgrep -u user1) 显示详情
# user1    38188     1 39 Apr13 ?        Sl   1388:20 ./watchdogs ssh failed kthread watchdog
# user1    58794     1 37 09:39 ?        Sl   162:25 ./watchdogs ssh failed kthread watchdog 
# user1    50457     1 37 09:39 ?        Sl   132:25 ./watchdogs ssh failed kthread watchdog 

# 杀死所有关联进程
ps -f --pid $(pgrep -u user1)  
 
# 再次删除用户
userdel -r user1 



# 4. 查看进程详情
ll /proc/63646
# lrwxrwxrwx  1 user1 user1 0 Apr 12 02:38 exe -> /dev/shm/watchdog

ll /proc/65297
# lrwxrwxrwx  1 user1 user1 0 Apr 15 09:39 exe -> /dev/shm/watchdogs

# 5. 删除木马的脚本
rm -rf /dev/shm/watchdog
rm -rf /dev/shm/watchdogs
 
# 6. 清除定时任务
crontab -l # 查看是否有任务
crontab -e # 编辑并清除 

建议与总结

  1. 打开防火墙firewalld
  2. ftp 修改默认22端口
  3. 对外开放的端口按需开放
  4. 提高密码复杂度
  5. 修复系统漏洞
  6. 优先使用秘钥登录,少用账户密码登录