【服务器安全】记一次处理挖矿病毒经历

一.背景

1.bcc云主机,做练习用,期间安过很多东西mysql,redis,docker,hadoop,anconda等;

2.使用期间发现cpu占用持续飙高,load average都超过了核心数,经检查发现有无法关闭进程、定时任务、程序包;

3.估计这个病毒通过某次安装中的安全漏洞进入系统;

二.识别病毒

1.查看占用资源的程序 -》 追踪程序  -》推断可疑后台进程、定时任务

2.识别过程使用到的命令:

top 查看高占用进程
netstat -anop | more 查看进程与对应ip关系
ps -ef | grep "进程名" 查看路径
crontab -l (/var/spool/cron/root)查看定时任务
cat /var/log/secure 安全相关的信息日志(很多说明有人在破解root密码)
which 查看环境变量设置

三.处理病毒

1.找到病毒对应的程序路径,ps -ef | grep "进程名

2.破坏关键脚本,将其加锁防止被重新覆盖 chattr

3.定时任务加锁 chattr +i /var/spool/cron/root, 修改定时任务

4.修改root密码,定时任务中执行禁止(在cat /var/log/secure中获取到的登录错误Fail的) IP访问sh

注:

a.一定要破坏对应的病毒程序,并对其加锁,防止病毒覆盖刷新;

b.对定时任务也是修改后加锁;

c.可以写一个定时执行禁止错误ip的脚本记录到hosts.deny

d.最后最好把密码改为安全密码.

-- end --

 

posted @ 2020-10-22 15:14  yangdq  阅读(336)  评论(0编辑  收藏  举报