linux 系统被植入矿机木马挖矿病毒自检

#----------- 病毒自检 -------------#

https://help.aliyun.com/document_detail/117972.html 《云防火墙防御挖矿蠕虫最佳实践》

https://help.aliyun.com/document_detail/161236.htm 《云安全中心挖矿程序处理最佳实践》

 修改命令目录

查找阿里云相关服务，停止进程（停止后控制台无法使用云助手） 

写入公钥，实现免密登录

 下载挖矿配置文件

为相关文件加入隐藏属性及执行权限

清空服务器原有防火墙规则

解决方案

1.首先使用top命令排查系统中占用率极高的进程

一般挖矿脚本在启动后，会极度消耗CPU资源，使用top命令查看服务器中启动的进程。(此处因已结束相关进程，未见异常。)

top

2.停止异常进程

kill -9 {进程号}

3.删除ssh下生成的异常公钥

3.1 查看异常公钥

3.2 去除文件隐藏属性

查看文件隐藏属性

lsattr {文件名}

去除隐藏属性(需要去除哪个属性就加上对应的参数)

chattr -iae 

3.3 删除公钥

4.删除定时任务

4.1查看定时任务

4.2去除文件隐藏属性

定时任务删除可使用如下命令

crontab -r

或者直接删除/var/spool/cron/{用户名} 文件 

此时直接删除会提示无权限(root权限提示我无权限？文件的隐藏属性)

使用chattr命令后再进行删除

4.3删除文件

rm /var/spool/cron/root

5.crontab日志文件分析

5.1 查看日志文件

 cat /var/log/cron

  分析可知etc目录下仍存在定时脚本

5.2 查看相关脚本

5.3删除可疑文件

6.清理缓存残留

6.1去除隐藏属性

6.2 删除缓存文件

rm -rf /tmp/

 7.相关配置文件删除

删除挖矿配置文件config.json、newsvc.sh zzh zzhs

8.设置安全组，禁止恶意ip访问

通过域名查找IP地址

添加安全组出方向规则 

9.恢复被修改的命令

mv /usr/bin/url /usr/bin/curl

mv /usr/bin/cd1 /usr/bin/url

mv /usr/bin/get /usr/bin/wget

mv /usr/bin/wd1 /usr/bin/get

mv /bin/ps.original /bin/ps

mv /bin/top.original /bin/top

mv /bin/pstree.original /bin/pstree

 10.防范措施

新增普通用户，禁止远程登录，以此用户启动Redis服务。

修改redis.conf文件中的bind 127.0.0.1为为自己数据库要访问的地址

bind x.x.x.x

在redis.conf中新增requirepass字段

requirepass {复杂密码}

原文链接：https://blog.csdn.net/mdzz14/article/details/111656726