【服务器安全】记一次处理挖矿病毒经历
一.背景
1.bcc云主机,做练习用,期间安过很多东西mysql,redis,docker,hadoop,anconda等;
2.使用期间发现cpu占用持续飙高,load average都超过了核心数,经检查发现有无法关闭进程、定时任务、程序包;
3.估计这个病毒通过某次安装中的安全漏洞进入系统;
二.识别病毒
1.查看占用资源的程序 -》 追踪程序 -》推断可疑后台进程、定时任务
2.识别过程使用到的命令:
top 查看高占用进程
netstat -anop | more 查看进程与对应ip关系
ps -ef | grep "进程名" 查看路径
crontab -l (/var/spool/cron/root)查看定时任务
cat /var/log/secure 安全相关的信息日志(很多说明有人在破解root密码)
which 查看环境变量设置
三.处理病毒
1.找到病毒对应的程序路径,ps -ef | grep "进程名
2.破坏关键脚本,将其加锁防止被重新覆盖 chattr
3.定时任务加锁 chattr +i /var/spool/cron/root, 修改定时任务
4.修改root密码,定时任务中执行禁止(在cat /var/log/secure中获取到的登录错误Fail的) IP访问sh
注:
a.一定要破坏对应的病毒程序,并对其加锁,防止病毒覆盖刷新;
b.对定时任务也是修改后加锁;
c.可以写一个定时执行禁止错误ip的脚本记录到hosts.deny
d.最后最好把密码改为安全密码.
-- end --