linux挖礦木馬怎麼殺
A. 伺服器被挖礦怎麼辦
很多人覺得Linux很安全,不會被入侵,這是錯誤的認知。如果一台Linux伺服器不進行必要的安全加固,還是比較容易被人攻擊的。
而Linux伺服器被挖礦,大多數是因為Redis開放了外網埠同時又沒有用戶密碼驗證導致提權造成的。
那如何解決和規避呢?我來詳細給大家講下:
1)、伺服器被植入挖礦程序的解決方案
在 # top ,命令中查看CPU和MEN佔用率過高的進程有哪些,記下進程的PID;
通過 # ps -ef | grep 進程名或PID ,查看進程文件路徑。如果此文件路徑可疑(不是系統文件,同時也不是管理員創建的)請取消執行許可權(取消X許可權);
通過 # kill -9 進程PID ,殺死進程;
通過 # vi ~/.bash_history ,查看歷史命令記錄文件,看看是否存在可疑命令;
禁用可疑用戶和重新設置SSH密鑰;
如果伺服器上的Redis埠外網可訪問,請在iptables里取消Redis埠的外網訪問許可權;
伺服器上站點源碼掃描,看看是否被植入木馬;
必要時需要重做系統。
2)、伺服器安全加固建議
如果裝了Redis,請記住只允許它本機訪問,不允許外網訪問!!!
嚴格控制伺服器各埠的訪問許可權;
禁止root用戶直接登錄,通過普通用戶su切換登錄。以上就是我的經驗之談,以前也遇到過被挖礦的情況。作為Linux伺服器管理員,每日要登錄伺服器做下安檢。
B. 小心你的伺服器變「礦機」!天融信捕獲變異H2Miner挖礦木馬
天融信捕獲H2Miner挖礦木馬變種,該木馬最早活躍於2019年底,擅長利用RCE漏洞滲透攻擊,將伺服器變為「礦機」,非法實施挖礦活動,曾非法獲利超370萬人民幣。挖礦木馬最早出現於2012年,加密數字貨幣價格自2017年暴漲,使得伺服器計算資源變得有利可圖。自2018年起,挖礦木馬成為主要安全威脅。
H2Miner挖礦木馬具備Windows和Linux雙平台攻擊能力,主要目標是Linux伺服器。該變種具備隱蔽性極強的特點,天融信自適應安全防禦系統、EDR等工具可以精確檢測並查殺該木馬,有效阻止事件蔓延。對於Windows平台,H2Miner通過RCE漏洞入侵,執行PowerShell腳本下載挖礦病毒和配置文件,並創建計劃任務實現自動啟動和持續挖礦。對於Linux平台,攻擊者利用RCE漏洞植入並運行ap.sh腳本,設置惡意文件釋放目錄,創建並運行惡意程序。
H2Miner涉及的組件包括五種方式,防護病毒攻擊可以通過及時修復系統及應用漏洞、關閉不必要的埠、服務和進程、通過防火牆添加阻斷規則、更改默認密碼並定期更新、安裝天融信自適應安全防禦系統或天融信EDR進行主動防禦。天融信產品防禦配置包括微隔離策略、風險發現、病毒實時監測、CPU資源閾值告警等。目前,天融信提供為期三個月的免費試用活動,產品獲取方式可通過天融信各地分公司或官方網站獲取。
C. 電腦cpu100%是不是被用來挖礦了
去騰訊智慧安全申請使用御點終端安全系統
然後使用騰訊御點,給電腦去進行病毒查殺就行了
對於很多企業電腦的病毒和漏洞,都可以進行查殺修復
D. 抓到元兇了!導致雙平台CPU飆高的「757」挖礦木馬,是何許人也
在近期,亞信安全網路威脅服務部接到了用戶的求助,報告其網路中的多台Linux與Windows設備出現CPU使用率異常飆高的情況。在安全專家的遠程協助下,我們最終成功定位並揭示了罪魁禍首——一款以757埠為攻擊入口的挖礦木馬,我們將其命名為了「757」挖礦。
為了幫助用戶擺脫這一困擾,我們為其制定了全面的解決方案,及時有效地解決了問題,並獲得了用戶的高度認可。
「757」挖礦家族概述
自2023年起,757挖礦家族在雙平台間迅速蔓延開來,成為了Linux與Windows系統皆需警惕的威脅。Linux版本的757挖礦木馬會利用SSH協議進行橫向傳播,一旦內網存在未維護或密碼未更改的設備,便可能導致持續感染。
Windows版本的757挖礦木馬則藉助名為r77的Ring3 Rootkit工具,巧妙地隱藏了文件、目錄、連接、命名管道、計劃任務、進程、注冊表鍵值、服務、TCP&UDP連接等關鍵元素,以此躲避檢測與清除。
「757」挖礦病毒分析(基於Linux平台)
為了識別出感染了「757」挖礦病毒的設備,用戶可通過以下方式判斷:在設備上檢查是否有異常的CPU使用率,以及是否存在可疑的進程活動。
手動清理步驟
為了防止設備被反復感染,用戶需及時更改弱密碼至強密碼,並執行特定清理操作以移除病毒。對於大規模感染的場景,網路威脅服務部可提供腳本自動化清理。
「757」挖礦病毒分析(基於Windows平台)
判斷Windows系統是否感染了「757」挖礦病毒,可通過分析系統日誌,尋找名為$77svc32和$77svc64的可疑計劃任務,同時留意命令中的編碼混淆,以繞過檢測。
通過解碼,可以看到病毒使用了復雜編碼策略。手動清理步驟包括但不限於識別並禁用這些可疑計劃任務,以及徹底清除相關病毒文件。
Linux平台與Windows平台下的757挖礦病毒對比分析
在不同操作系統中,757挖礦病毒的表現與應對策略有所差異。通過深入分析,我們能夠發現其在不同平台下的技術特點與傳播路徑,從而制定出更精確的解決方案。
亞信安全解決方案
為了抵禦此類威脅,我們推薦使用亞信安全雲病毒碼版本18.421.71、傳統病毒碼版本18.421.60以及全球碼版本18.421.00,這些版本的病毒碼能夠有效識別並清除本案例中的病毒文件。
安全建議
為了預防和抵禦此類挖礦木馬的攻擊,用戶應定期更新系統與軟體,強化密碼策略,以及開啟防火牆和安全防護系統。同時,保持警惕,對異常行為進行監控與響應,是確保網路安全的重要措施。
E. 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。