目錄

前言

清理流程

檢查修復(fù)DNS

停止計(jì)劃任務(wù)

取消tmp目錄的可執(zhí)行權(quán)限

服務(wù)排查

進(jìn)程排查

高CPU占用進(jìn)程查殺

計(jì)劃任務(wù)清理

預(yù)加載劫持清理

系統(tǒng)命令變動(dòng)排查

中毒前后可執(zhí)行文件排查

系統(tǒng)配置文件排查

小結(jié)

前言

在被植入挖礦病毒后，如果攻擊者擁有足夠的權(quán)限，比如root權(quán)限，往往會(huì)對(duì)系統(tǒng)命令進(jìn)行劫持，達(dá)到隱藏自己的效果，故第一步最好是先確認(rèn)是否存在rootkit劫持、庫(kù)劫持，之后的命令執(zhí)行操作也最好是通過(guò)busybox執(zhí)行

清理流程

注：命令均在busybox工具下執(zhí)行

檢查修復(fù)DNS

挖礦病毒有時(shí)候?yàn)榱朔乐乖L問(wèn)不到礦池或者代理，往往會(huì)修改dns記錄，故可以先查看“/etc/resolv.conf”文件內(nèi)容情況

停止計(jì)劃任務(wù)

為了做到持久化控制，在攻擊者權(quán)限足夠的情況下，往往會(huì)寫(xiě)計(jì)劃任務(wù)項(xiàng)，達(dá)到持續(xù)執(zhí)行挖礦腳本的目的，為了清理過(guò)程中不會(huì)再都執(zhí)行挖礦腳本，先把定時(shí)任務(wù)服務(wù)停止。

    chattr -R -ai /etc/ &>/dev/null  #去除文件不可修改權(quán)限
    systemctl stop crond #centos為crond，ubuntu為cron
    systemctl stop atd
    pkill crond 
    pkill atd

取消tmp目錄的可執(zhí)行權(quán)限

攻擊者為了方便，往往會(huì)把運(yùn)行腳本隱藏在tmp目錄下，但是我們清理過(guò)程中，如果怕誤刪或者不清楚哪些是惡意文件的話(huà)，可以直接取消tmp目錄下所有文件的可執(zhí)行權(quán)限

chattr -R -ai /tmp/ /var/tmp/ /dev/shm/
chmod -R -x /tmp/ /var/tmp/ /dev/shm/

服務(wù)排查

正常情況下，服務(wù)器所起的系統(tǒng)服務(wù)是不會(huì)變動(dòng)的，可以排查中挖礦病毒前后系統(tǒng)服務(wù)的變動(dòng)情況，排查確認(rèn)異常后可將服務(wù)停止，并將文件打包移走

find /etc/systemd/system/ -mtime -近期變動(dòng)時(shí)間 -type f
chattr -ia filename #filename為近期找到的變動(dòng)過(guò)的服務(wù)文件
systemctl stop 服務(wù)名 #停止服務(wù)
systemctl disable 服務(wù)名

進(jìn)程排查

查看所有進(jìn)程的信息，排查”/proc/pid號(hào)/exe” “/proc/pid號(hào)/cmdline” ,檢查進(jìn)程的啟動(dòng)命令，已經(jīng)引用的exe軟連接的真實(shí)路徑。其中如果/proc/pid號(hào)/exe”中調(diào)用了/bin/bash，（deleted），/tmp/ 都是可疑，有必要排查是否是異常項(xiàng)

高CPU占用進(jìn)程查殺

中挖礦病毒的一個(gè)重要特征就是cpu占用率會(huì)非常高，當(dāng)然一些挖礦病毒為了更好的隱藏自己當(dāng)老6，會(huì)控制cpu的占用率，比如維持在50%以下，同時(shí)很多時(shí)候我們?nèi)绻挥胋usybox的話(huà)，top命令等都是看不到有高占用cpu的進(jìn)程的。

這里可以使用htop，busybox的top命令查看是否高占用cpu的進(jìn)程，同時(shí)通過(guò)進(jìn)程號(hào)可查看“/proc/pid號(hào)/cmdline”判斷是否是異常進(jìn)程，確認(rèn)后使用kill命令終止挖礦進(jìn)程即可

計(jì)劃任務(wù)清理

最開(kāi)始的時(shí)候我們只是停止了計(jì)劃任務(wù)服務(wù)，但是并沒(méi)有對(duì)計(jì)劃任務(wù)文件進(jìn)行清理，這里對(duì)計(jì)劃任務(wù)進(jìn)行清理，一個(gè)簡(jiǎn)便的方法就是查看中挖礦前后發(fā)生變動(dòng)的計(jì)劃任務(wù)文件，這些都是可疑的。

#計(jì)劃任務(wù)目錄
("/etc/crontab" "/var/spool/cron/" "/etc/cron.d/" "/etc/cron.daily/" "/etc/cron.hourly/" "/etc/cron.monthly/" "/etc/cron.weekly/" "/etc/init.d" "/etc/rc.d/" "/etc/rc.local")

#排查這些目錄中近期發(fā)生過(guò)變動(dòng)的文件
find 計(jì)劃任務(wù)目錄 -type f -mtime 中病毒前后時(shí)間

預(yù)加載劫持清理

挖礦有時(shí)候?yàn)榱穗[藏自己，會(huì)對(duì)系統(tǒng)的預(yù)加載配置進(jìn)行修改，讓執(zhí)行的命令加載惡意的so文件，這里需要對(duì)這些文件進(jìn)行清理（注：不確定的時(shí)候不要隨便清除，如果是劫持的系統(tǒng)自身的so文件，最后找個(gè)干凈系統(tǒng)的so文件替換）

檢測(cè)預(yù)加載文件，用busybox命令查看
cat /etc/ld.so.preload   #這個(gè)文件默認(rèn)是空的和不存在的，如果有內(nèi)容并且確認(rèn)不是管理員的操作話(huà)，那么這個(gè)so文件就有問(wèn)題

系統(tǒng)命令變動(dòng)排查

一直有說(shuō)到，挖礦為了隱藏自己，有時(shí)候會(huì)修改系統(tǒng)命令，讓我們排查的時(shí)候看不到它，這里通過(guò)時(shí)間排查挖礦后被變動(dòng)過(guò)的系統(tǒng)命令（一般這個(gè)命令文件是不會(huì)有變動(dòng)，故變動(dòng)過(guò)的都是可疑的）

cat $PATH  #環(huán)境變量下目錄
find 環(huán)境變量目錄 -type -executable -mtime -中病毒前后時(shí)間
chattr -ai -R 環(huán)境變量目錄 #解除環(huán)境變量目錄不可修改權(quán)限，之后對(duì)異常命令打包清理

中毒前后可執(zhí)行文件排查

正常情況下，系統(tǒng)的可執(zhí)行文件基本是不會(huì)變動(dòng)，基本不會(huì)有新增，那中挖礦時(shí)間前后變動(dòng)的可執(zhí)行文件都是可疑，需要進(jìn)一步排查清理。

find /etc /tmp /user/ /root /var /lib /dev/shm -maxdepth 3 -mtime -挖礦前后時(shí)間 -type f -executable

系統(tǒng)配置文件排查

由一些病毒會(huì)對(duì)系統(tǒng)配置文件進(jìn)行修改，這里對(duì)這些配置文件操作需要慎重，需確認(rèn)的確是異常后再清理。

系統(tǒng)配置文件目錄：/etc/profile /home/用戶(hù)名/.bash_profile /home/用戶(hù)名/.bashrc /home/用戶(hù)名/.profile
find 系統(tǒng)配置文件目錄 -type f -mtime -中病毒前后時(shí)間

小結(jié)

清理到這里，病毒以及殘留文件已經(jīng)清理干凈了，后續(xù)的就是重新開(kāi)啟定時(shí)任務(wù)，重新安裝系統(tǒng)命令，恢復(fù)dns配置文件，排查入侵原因文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-690492.html

到了這里，關(guān)于Linux中挖礦病毒清理通用思路的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！