-
搜索主机的主要异常特征
【1】 挖矿进程名
【2】网关报警域名/IP
2.搜索主机可疑特征
【1】定时任务 crontab -l
4360761-4cc392bfc2c02491.png
【2】可疑文件路径
image.png image.png
【3】可疑网络连接
image.png
2.常见Linux病毒家族
老一辈: BillGates
新生代家族: DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族:Mirai、Gafgyt
- 病毒特点
BillGates
【1】在/tmp目录下有gates.lod、moni.lod文件
【2】访问域名www.id666.pw
【3】将系统文件(ss、netstat、ps)替换成病毒的伪装文件
DDG
【1】tmp目录下有ddgs.+数字的ELF文件
【2】存在下载i.sh的定时任务
SystemMiner
【1】访问带有tor2web、onion字符串的域名
【2】在/tmp目录下有systemd的文件(后期版本为随机名)
【3】存在运行systemd-login的定时任务(后期版本为随机名)
StartMiner
【1】定时任务里有包含2start.jpg的字符串
【2】/tmp目录下存在名为x86.的病毒文件
【3】有多个病毒伪装定时任务文件:apache、nginx、root
WatchdogsMiner
【1】存在执行pastebin.com上恶意代码的定时任务
【2】/tmp目录下存在一个名为watchdogs的病毒文件
XorDDos
【1】存在病毒文件/lib/libudev.so
【2】在/usr/bin, /bin, /lib, /tmp目录下存在随机名病毒文件
【3】存在执行gcc.sh的定时任务
Mirai
【1】多平台攻击,病毒文件中带有架构名
【2】由于代码开源,Mirai每天都在变种
4.三步轻松清除挖矿病毒
【1-1】定位挖矿进程 1.top、htop
【1-2】清除挖矿进程 kill -9 [pid]
【2-1】根据进程信息定位文件 ll /proc/[pid]/exe
【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]
【3-1】检查定时任务 crontab -l , ll /etc/cron.d/
【3-2】清除定时任务 crontab -r *注意是否存在业务需要的定时任务
【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron
【3-4】 删除定时任务文件 rm /etc/cron.d/[file]
5.顽固病毒对抗技巧
image.png
关键字关联可以进程: ps -elf | grep [sh、wget、curl、xmr、mine、ssh] | grep -v grep
6.主机卡顿但找不到挖矿进程
使用busybox的top命令,
网友评论