linux挖矿木马怎么杀
A. 服务器被挖矿怎么办
很多人觉得Linux很安全,不会被入侵,这是错误的认知。如果一台Linux服务器不进行必要的安全加固,还是比较容易被人攻击的。
而Linux服务器被挖矿,大多数是因为Redis开放了外网端口同时又没有用户密码验证导致提权造成的。
那如何解决和规避呢?我来详细给大家讲下:
1)、服务器被植入挖矿程序的解决方案
在 # top ,命令中查看CPU和MEN占用率过高的进程有哪些,记下进程的PID;
通过 # ps -ef | grep 进程名或PID ,查看进程文件路径。如果此文件路径可疑(不是系统文件,同时也不是管理员创建的)请取消执行权限(取消X权限);
通过 # kill -9 进程PID ,杀死进程;
通过 # vi ~/.bash_history ,查看历史命令记录文件,看看是否存在可疑命令;
禁用可疑用户和重新设置SSH密钥;
如果服务器上的Redis端口外网可访问,请在iptables里取消Redis端口的外网访问权限;
服务器上站点源码扫描,看看是否被植入木马;
必要时需要重做系统。
2)、服务器安全加固建议
如果装了Redis,请记住只允许它本机访问,不允许外网访问!!!
严格控制服务器各端口的访问权限;
禁止root用户直接登录,通过普通用户su切换登录。以上就是我的经验之谈,以前也遇到过被挖矿的情况。作为Linux服务器管理员,每日要登录服务器做下安检。
B. 小心你的服务器变“矿机”!天融信捕获变异H2Miner挖矿木马
天融信捕获H2Miner挖矿木马变种,该木马最早活跃于2019年底,擅长利用RCE漏洞渗透攻击,将服务器变为“矿机”,非法实施挖矿活动,曾非法获利超370万人民币。挖矿木马最早出现于2012年,加密数字货币价格自2017年暴涨,使得服务器计算资源变得有利可图。自2018年起,挖矿木马成为主要安全威胁。
H2Miner挖矿木马具备Windows和Linux双平台攻击能力,主要目标是Linux服务器。该变种具备隐蔽性极强的特点,天融信自适应安全防御系统、EDR等工具可以精确检测并查杀该木马,有效阻止事件蔓延。对于Windows平台,H2Miner通过RCE漏洞入侵,执行PowerShell脚本下载挖矿病毒和配置文件,并创建计划任务实现自动启动和持续挖矿。对于Linux平台,攻击者利用RCE漏洞植入并运行ap.sh脚本,设置恶意文件释放目录,创建并运行恶意程序。
H2Miner涉及的组件包括五种方式,防护病毒攻击可以通过及时修复系统及应用漏洞、关闭不必要的端口、服务和进程、通过防火墙添加阻断规则、更改默认密码并定期更新、安装天融信自适应安全防御系统或天融信EDR进行主动防御。天融信产品防御配置包括微隔离策略、风险发现、病毒实时监测、CPU资源阈值告警等。目前,天融信提供为期三个月的免费试用活动,产品获取方式可通过天融信各地分公司或官方网站获取。
C. 电脑cpu100%是不是被用来挖矿了
去腾讯智慧安全申请使用御点终端安全系统
然后使用腾讯御点,给电脑去进行病毒查杀就行了
对于很多企业电脑的病毒和漏洞,都可以进行查杀修复
D. 抓到元凶了!导致双平台CPU飙高的“757”挖矿木马,是何许人也
在近期,亚信安全网络威胁服务部接到了用户的求助,报告其网络中的多台Linux与Windows设备出现CPU使用率异常飙高的情况。在安全专家的远程协助下,我们最终成功定位并揭示了罪魁祸首——一款以757端口为攻击入口的挖矿木马,我们将其命名为了“757”挖矿。
为了帮助用户摆脱这一困扰,我们为其制定了全面的解决方案,及时有效地解决了问题,并获得了用户的高度认可。
“757”挖矿家族概述
自2023年起,757挖矿家族在双平台间迅速蔓延开来,成为了Linux与Windows系统皆需警惕的威胁。Linux版本的757挖矿木马会利用SSH协议进行横向传播,一旦内网存在未维护或密码未更改的设备,便可能导致持续感染。
Windows版本的757挖矿木马则借助名为r77的Ring3 Rootkit工具,巧妙地隐藏了文件、目录、连接、命名管道、计划任务、进程、注册表键值、服务、TCP&UDP连接等关键元素,以此躲避检测与清除。
“757”挖矿病毒分析(基于Linux平台)
为了识别出感染了“757”挖矿病毒的设备,用户可通过以下方式判断:在设备上检查是否有异常的CPU使用率,以及是否存在可疑的进程活动。
手动清理步骤
为了防止设备被反复感染,用户需及时更改弱密码至强密码,并执行特定清理操作以移除病毒。对于大规模感染的场景,网络威胁服务部可提供脚本自动化清理。
“757”挖矿病毒分析(基于Windows平台)
判断Windows系统是否感染了“757”挖矿病毒,可通过分析系统日志,寻找名为$77svc32和$77svc64的可疑计划任务,同时留意命令中的编码混淆,以绕过检测。
通过解码,可以看到病毒使用了复杂编码策略。手动清理步骤包括但不限于识别并禁用这些可疑计划任务,以及彻底清除相关病毒文件。
Linux平台与Windows平台下的757挖矿病毒对比分析
在不同操作系统中,757挖矿病毒的表现与应对策略有所差异。通过深入分析,我们能够发现其在不同平台下的技术特点与传播路径,从而制定出更精确的解决方案。
亚信安全解决方案
为了抵御此类威胁,我们推荐使用亚信安全云病毒码版本18.421.71、传统病毒码版本18.421.60以及全球码版本18.421.00,这些版本的病毒码能够有效识别并清除本案例中的病毒文件。
安全建议
为了预防和抵御此类挖矿木马的攻击,用户应定期更新系统与软件,强化密码策略,以及开启防火墙和安全防护系统。同时,保持警惕,对异常行为进行监控与响应,是确保网络安全的重要措施。
E. 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。