1 症狀
CPU一半核心滿載,斷網負載消失,聯網負載出現,htop、top、ps等無法查詢到佔用cpu程序。
clamav慢掃全盤無結果。
使用netstat -anptu找到一個德國ip
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 294 59.77.18.34:37682 139.59.206.74:443 LAST_ACK -
該程序未顯示PID/Program name
2 找出隱藏的挖礦程序
利用兩個工具【sysdig】和【unhide】來搜尋被隱藏的程序。
https://blog.csdn.net/weixin_48958956/article/details/139812765
sudo apt install sysdig
sudo apt install unhide
sudo sysdig -c topprocs_cpu # 輸出cpu佔用的排行,可以顯示出隱藏的程序
#sudo unhide proc # (這個貌似沒啥用)搜尋隱藏程序,proc目錄下儲存的是所有正在執行程式的程序ID,即PID
找到佔用的程式PID
CPU% Process PID
3181.01% 135d2727 3532
查詢PID對應的服務
systemctl status 3532
輸出
user@server:/usr/bin$ systemctl status 3532
● yayaya3b8ce582.service
Loaded: not-found (Reason: Unit yayaya3b8ce582.service not found.)
挖礦程式為yayaya3b8ce582.service
找出挖礦服務的位置
user@server:~$ systemctl cat yayaya3b8ce582
# /lib/systemd/system/yayaya3b8ce582.service
[Unit]
Description=Server Service
Wants=network-online.target
After=network-online.target
[Service]
Type=forking
User=root
ExecStart=/usr/lib/x86_64-linux-gnu/yayaya73bb36e4
Restart=always
RestartSec=4h
[Install]
WantedBy=multi-user.target
3 刪除挖礦病毒的服務,按照以下步驟操作:
3.1. 斷網修改密碼
首先,斷網!!!!!!,修改所有使用者密碼,以及root密碼。
大小寫和數字組合
修改所有使用者密碼參考:https://www.yisu.com/ask/62017172.html
修改root密碼,在root下使用passwd更改
3.3. 停止服務:
停止正在執行的服務。
systemctl stop yayaya3b8ce582
3.2. 禁用服務:
禁用服務以防止它在系統重啟後再次啟動。
systemctl disable yayaya3b8ce582
3.3. 刪除服務檔案:
刪除與該服務相關的系統服務檔案。
rm /lib/systemd/system/yayaya3b8ce582.service
3.4. 重新載入systemd配置:
刪除服務檔案後,重新載入systemd的配置。
systemctl daemon-reload
3.5. 檢查並刪除可疑檔案:
刪除服務對應的可執行檔案,以防止再次被執行。
rm /usr/lib/x86_64-linux-gnu/yayaya73bb36e4
3.6. 檢查是否有其他可疑服務:
列出所有正在執行的服務,並檢查是否有其他可疑的服務。
systemctl list-units --type=service
按照以上步驟操作,可以有效地刪除這個挖礦病毒服務,並減少它對系統的影響。如果懷疑係統可能存在更多安全隱患,建議備份重要資料,並考慮重新安裝作業系統以確保系統的乾淨和安全。
本文更新之日,再中病毒之時。