挖矿病毒freebuf
A. 挖矿病毒
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。
说说挖矿病毒的几个特点:
一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。
二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。
三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。
四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。
挖矿病毒的防御
挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。
对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。
B. 璁板綍涓娆NAS琚玿mrig鎸栫熆鐥呮瘨鍏ヤ镜鐨勭粡鍘
```html銆愯︽儠锛丯AS閬閬噚mrig鎸栫熆鐥呮瘨鍏ヤ镜璁般
涓寮鍦哄氨缁欎釜璀﹀憡锛浣跨敤鎵嬫満BT涓嬭浇绠$悊杞浠舵椂瑕佽皑鎱庯紒</
鑳屾櫙锛氫竴鍙板叏鍔熻兘涓绘満N5105閰8GB鍐呭瓨锛岃繍琛屽湪PVE铏氭嫙鏈轰笂锛屼綔涓篘AS锛孫penWRT璐熻矗璺鐢憋紝OMV鎵胯浇鐫NAS鐨勫伐浣溿備笅杞藉伐鍏烽夌敤浜唓bittorrent锛屽畠闅愯棌鍦∣MV鐨勫簢鎶や笅銆
浜嬫儏鐨勭獊鍙橈細CPU鍗犵敤鐖嗚〃锛岀枒浜戞诞鐜</
6鏈7鏃ワ紝鎴戜緥琛屾鏌PVE鍚庡彴锛孫MV鐨凜PU浣跨敤鐜囩珶鐒舵弧杞斤紝杩樹互涓烘槸PT浠诲姟鎵鑷淬傜劧鑰岋紝鎵撳紑qbittorrent鍚庡彴锛屽嵈涓嶈佷换浣曟椿璺冧换鍔★紝鍙鏄闆舵槦鐨勪笂浼犲崰鐢ㄤ簺璁稿甫瀹姐傞偅涓鍒伙紝鎴戝療瑙夊埌浜嗕笉瀵诲父銆
娣卞叆鎺㈢┒锛鐥呮瘨鐨勪吉瑁呬笌鍙戠幇</
鐧诲綍OMV鍚庡彴锛屽彂鐜板悕涓簒mrig鐨勮繘绋嬬嫭鍗燙PU銆傜粡杩囩櫨搴︽悳绱锛屾垜鎰忚瘑鍒拌繖鍙鑳芥槸鐥呮瘨锛岃繀閫熸墽琛屼簡kill鍛戒护锛屽彲鎯滃お鍖嗗繖锛屽繕璁版埅鍥句綔涓鸿瘉鎹銆傦紙kill铏藉揩锛屼絾瑕侀槻鎮d簬鏈鐒</锛
鎺ョ潃锛屾垜灞曞紑浜嗘繁搴︹滄秷姣掆濊屽姩锛杩借釜鐥呮瘨瓒宠抗</
棣栧厛锛岄氳繃top -c鎵惧埌浜嗙梾姣掓枃浠剁殑钘忚韩涔嬪勶紝鏋滄柇鍒犻櫎銆傜劧鍚庯紝浠旂粏鎼滅储鍙鑳界殑鍚庨棬锛屽彂鐜伴檶鐢熷叕閽ユ綔鍏ヤ簡~/.ssh/authorized_keys锛寏/.profile鏂囦欢涔熼伃鍙椾簡绡℃敼锛屾剰鍛崇潃姣忔$櫥褰曢兘鍙鑳芥垚涓虹梾姣掔殑甯鍑躲傛棩蹇楅噷娌℃湁澶栫綉鐧诲綍鐨勮釜杩癸紝瀹氭椂浠诲姟涔熸棤寮傛牱锛岄棶棰樻潵浜嗭紝鐥呮瘨鏄濡備綍鎮勬棤澹版伅鍦板惎鍔ㄧ殑鍛?
瀵绘壘鐥呮瘨鐪熷嚩鐨勭嚎绱</
绯荤粺鏃ュ織鎴愪簡鎴戣拷韪鐨勭嚎绱㈠疂搴擄紝涓鏉″叧閿璁板綍鎻绀轰簡鐪熺浉锛歲bittorrent浠庝竴涓鍦板潃涓嬭浇骞舵墽琛屼簡涓涓鑴氭湰锛岃繖涓鑴氭湰涓嬭浇浜嗘寲鐭胯蒋浠跺苟鍚鍔ㄤ簡杩涚▼銆傝繖璁╂垜鎬鐤戞槸qbittorrent鐨勬紡娲烇紝浣嗗紑婧愯蒋浠剁殑鍙淇″害璁╂垜璐ㄧ枒鍙︽湁韫婅贩銆
娣卞叆鎸栨帢锛屾垜鍦╭b鐨勫悗鍙版壘鍒颁簡绛旀堬細绉嶅瓙涓嬭浇鑳屽悗鐨勭樺瘑</
鍘熸潵锛屾瘡娆$嶅瓙涓嬭浇瀹屾垚鏃讹紝qbittorrent浼氳嚜鍔ㄦ墽琛屼竴娈典唬鐮侊紝涓嬭浇骞惰繍琛屾寲鐭胯剼鏈銆傝繖灏辨剰鍛崇潃锛屾瘡涓鍦轰笅杞介兘鍙鑳借Е鍙戜竴鍦烘棤鎰忚瘑鐨勬寲鎺樻椿鍔锛
鏈鍚庣殑鐤戦棶锛鐥呮瘨濡備綍娼滃叆鐨</
鎴戝洖鎯宠捣鏉ワ紝6鏈3鏃ユ垜鏇惧皾璇曚娇鐢ㄦ墜鏈虹$悊qb锛岄偅涓ゅぉ鎴戣瘯鐢ㄤ簡涓ゆ捐繙绋嬬$悊宸ュ叿锛屽畠浠鍙鑳芥槸鐥呮瘨鐨勯氶亾銆備絾鐜板湪锛屾垜涓嶆効鍐嶈拷鏌ュ叿浣撴槸鍝娆惧簲鐢锛屾瘯绔燂紝鐧藉珫鐢靛奖鍚庯紝璁╂垜浠樿垂璐涔拌蒋浠跺彲涓嶆槸鎴戠殑椋庢牸銆
鎬荤粨锛氫俊浠讳笌璀︽儠鐨勫钩琛</
鎶樿吘褰掓姌鑵撅紝閫夋嫨寮婧愪笉浠h〃鍙浠ュ畬鍏ㄤ俊浠汇傚湪鎼寤哄跺涵褰遍煶涓蹇冩椂锛屾垜浠闇瑕佹洿鍔犺皑鎱庯紝閬垮厤璁╂潵鍘嗕笉鏄庣殑杞浠剁$悊鏍稿績璁惧囥傛潈闄愭帶鍒跺拰浣跨敤root鐢ㄦ埛璋ㄦ厧琛屼簨鏄蹇呴』鐨勩
鏈熷緟鏇村氬畨鍏ㄥ彲闈犵殑寮婧愰」鐩锛岃╂垜浠鑳芥洿瀹夊績鍦颁韩鍙楃戞妧甯︽潵鐨勪究鍒┿傝嚦浜庨偅娈祍h鏂囦欢鐨勮︽儏锛屾儕蹇冨姩榄勶紝璇︽儏璇疯嚜琛屾煡鐪嬮檮鍥撅紝閾炬帴灏卞厤浜嗐傦紙鐐瑰嚮鍥剧墖锛屾彮闇查殣钘忕殑鎭愭</锛
```
C. HEUR:TrOojan.Win32.Miner.gen是什么病毒
从病毒名称看,这是挖矿病毒。利用计算机的计算能力,来进行获得虚拟货币。
病毒运行过程中会大量占用计算机资源,导致计算机卡慢。
建议勤打补丁,防止病毒利用漏洞传播。还可以安装360安全卫士,默认开启挖矿木马防护。
D. 电脑开机后有这个病毒提示是怎么回事用管吗
你的电脑系统可能感染了挖矿病毒,可以点击:阻止。
如果有其他问题,你可以按照我总结的系统修复方法尝试解决:
方法1、更新和修复所有系统漏洞,这样通过系统本身更新或打补丁来修复出错的程序,尝试来消除错误。
方法2、开机不断点击F8键,进入系统操作选单(如果是Win8,Win8.1,Win10系统,在看见开机画面后长按电源键关机,短时间内重复三次左右可以进入WinRE {Windows 恢复环境},但有的用户可能需要直接断开电源。这样开机后应该能出现高级恢复的界面了),选“最后一次正确配置”,重启电脑,看能否解决。
方法3、开机不断点击F8键,进入系统操作选单(如果是Win8,Win8.1,Win10系统,在看见开机画面后长按电源键关机,短时间内重复三次左右可以进入WinRE {Windows 恢复环境},但有的用户可能需要直接断开电源。这样开机后应该能出现高级恢复的界面了),然后寻找“安全模式”,并进入“安全模式”,如能成功进入,依次单击“开始”→“所有程序”→“附件”→“系统工具”→“系统还原”,出现“系统还原对话框”,选择“恢复我的计算机到一个较早的时间”。 这样可以用Windows系统自带的系统还原功能,还原到以前能正常开机的时候一个还原点。(如果有的话)
方法4、用系统安装光盘或者系统安装U盘,放入光驱或者插入USB接口,重启电脑,进入光盘安装系统状态或者进入U盘安装系统状态,等到启动界面闪过后,不要选安装系统,而是选修复系统,对目前系统进行修复(可能会运行很长时间,2-4小时都可能),耐心等待修复完成,看看是否能解决问题。
如以上4种方法全部无效,那就只有重装系统了。
E. 挖矿病毒分析(centos7)
rm -rf /root/.ssh/*
如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件
该脚本执行了 /xm 脚本,并且总是会重启服务。如果此程序不进行清除,即使杀死了对应的进程,过一会还是会执行重新创建,又导致服务器异常。
因此,先停止启动脚本配置项:
systemctl disable name.service
删除脚本:
rm -rf /etc/systemd/system/xm.service
5,启动脚本删除完后,删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs
kill 9 pid
ls /proc/10341
F. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛
1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅绔鍙e紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆
8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广
G. 电脑中了挖矿病毒
方法/步骤
首先,如果是菜鸟写出的病毒,大家可以太任务管理器中,找到该文件路径,直接终结进程树,或直接找到路径删除即可。
2/6
第二,如果对方技术够本,我们很难终结进程,那么,我们可以下载一个电脑管家,现在的电脑管家也增大了挖矿病毒的扫描率,如果查找到直接清理即可。
3/6
第三,如果电脑管家也无法搞定那么,我们可以avast查杀,这个程序在杀毒方面,简直是第一,对于挖矿病毒来说,更是犹如利剑。
4/6
第四,如果使用avast之后,我们还怀疑电脑有挖矿病毒的话,我们先打开进程手动把文档路径放到隔离区。
5/6
第五,在放到隔离区之后,我们使用avast的放松以供分析,然后发给avast的工作员工,备注怀疑是挖矿病毒,对方给我们人工分析,如果是,对方也会帮我们删除。
6/6
第六,如果在专业坚定之后,我们还有所怀疑的话,如果不是大牛,那么,大舅就需要重装电脑了,毕竟,一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)
H. 我的电脑似乎中了挖矿病毒,求解怎么办
建议您安装瑞星杀毒软件V16+版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行病毒扫描查杀;
如果病毒很顽固或者破坏了系统文件 推荐重新安装系统即可。
I. 记一次解决挖矿病毒的过程(sysupdate、networkservice)
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。
当发现服务器卡的时候,我们可以采用top命令,如下显示
我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢?
1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程,
3、每个进程的cpu占用都比较小,平均差不多20%个cpu,可是这么多进程加起来,CPU占用就爆炸了,将近100%了
从上面这个地方可以发现这个攻击者很聪明,懂得用这种名称来混淆我们的视野
从上面的top命令知道了这几个占用比较大的进程号,我们可以根据其中的某个进程,比如7081入手,来查找其他关联的进程,使用以下命令,如下图所示
进入到/etc目录下,
我们可以看到有sysupdate、networkservice、sysguard三个文件,这三个文件都是二进制文件,这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件,这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢,其实是通过定时程序里面的cron找出来的。
再进入到 /var/spool/cron看下定时程序
如下图所示
可以看到这几个文件名称,和刚刚占用cpu高的进程user,名称是一样的
这样就可以确认的确是病毒攻击了服务器
1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中,删除其中的定时脚本。
也要记得删除定时任务,crontab -e,删除其中的脚本
2、杀掉进程,并删除文件
以下这几张图片的进程id,分别进行kill杀掉
然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候,你可能会发现无法删除,因为病毒使用了chattr +i 命令,使用如下命令即可删除
每个无法删除的文件,都执行如上命令,即可实现删除文件
3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆,攻击者可以随便登陆你的服务器,你这里要把秘钥也修改下
经过这些处理后,可以发现我们的服务器已经不再卡了,如下,没有占用高的程序了
转自: https://www.jianshu.com/p/b99378f0cf8f