linux中挖礦病毒
❶ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
❷ 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
❸ Linux.coinminer木馬如何清除
這個就看個文件名,沒辦法准確看是不是病毒的最好還是用安全軟體進行一下檢測可以裝個電腦管家,然後選擇病毒查殺,把這個病毒從電腦刪除了就行
❹ .如果一台linux伺服器中了botnet病毒,該如何排查
1、病毒木馬排查。
1.1、使用netstat查看網路連接,分析是否有可疑發送行為,如有則停止。
在伺服器上發現一個大寫的CRONTAB命令,然後進行命令清理及計劃任務排查。
(linux常見木馬,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
1.2、使用殺毒軟體進行病毒查殺。
2、伺服器漏洞排查並修復
2.1、查看伺服器賬號是否有異常,如有則停止刪除掉。
2.2、查看伺服器是否有異地登錄情況,如有則修改密碼為強密碼(字每+數字+特殊符號)大小寫,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic後台密碼,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.4、查看WEB應用是否有漏洞,如struts, ElasticSearch等,如有則請升級。
2.5、查看MySQL、SQLServer、FTP、WEB管理後台等其它有設置密碼的地方,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.6、查看Redis無密碼可遠程寫入文件漏洞,檢查/root/.ssh/下黑客創建的SSH登錄密鑰文件,刪除掉,修改Redis為有密碼訪問並使用強密碼,不需要公網訪問最好bind 127.0.0.1本地訪問。
2.7、如果有安裝第三方軟體,請按官網指引進行修復。
❺ Linux系統被Carbon挖礦病毒入侵,殺掉之後過一段時間又起來了,有誰遇到過這種情況啊
這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了
❻ linux系統伺服器中的蠕蟲病毒怎麼清除
可以用eset的nod32進行查殺。
Linux下的蠕蟲病毒與Windows下的蠕蟲病毒類似,可以獨立運行,並將自身傳播到另外的計算機上去。在Linux平台下的蠕蟲病毒通常利用一些Linux系統和服務的漏洞來進行傳播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp這兩個安全漏洞進行傳播的。
防範:防範此類病毒要堵住蠕蟲病毒發作的源頭,從已經出現的幾個Linux病毒爆發事件來看,它們都是利用了Linux已經公布了的幾個安全漏洞,如果用戶及時採取了對應的安全措施就不會受到它們的影響。不過遺憾的是,許多Linux的管理員並沒有緊密跟蹤與自己系統和服務相關的最新信息,所以還是給病毒有可乘之機。用戶要做好本機的安全工作,特別要關心Linux的安全漏洞信息,一旦有新的Linux安全漏洞出現,就要及時採取安全措施。此外,還可以配合防火牆規則來限制蠕蟲病毒的傳播。
對Linux平台下病毒的防範總結出以下幾條建議,僅供參考:(1)做好系統加固工作。(2)留心安全公告,及時修正漏洞。(3)日常操作不要使用root許可權進行。(4)不要隨便安裝來歷不明的各種設備驅動程序。(5)不要在重要的伺服器上運行一些來歷不明的可執行程序或腳本。(6)盡量安裝防毒軟體,並定期升級病毒代碼庫。(7)對於連接到Internet的Linux伺服器,要定期檢測Linux病毒。蠕蟲和木馬是否存在。(8)對於提供文件服務的Linux伺服器,最好部署一款可以同時查殺Windows和Linux病毒的軟體。
❼ linux系統中病毒怎麼辦
1、最簡單有效的方法就是重裝
2、要查的話就是找到病毒文件然後刪除;中毒之後一般機器cpu、內存使用率會比較高,機器向外發包等異常情況,排查方法簡單介紹下:
#top命令找到cpu使用率最高的進程,一般病毒文件命名都比較亂
#可以用ps aux 找到病毒文件位置
#rm -f 命令刪除病毒文件
#檢查計劃任務、開機啟動項和病毒文件目錄有無其他可以文件等
3、由於即使刪除病毒文件不排除有潛伏病毒,所以最好是把機器備份數據之後重裝一下。
❽ Linux系統平台下病毒種類主要有哪些
Linux系統平台下的病毒主要分為以下4類:
1、可執行文件型病毒,這個主要就是指能夠寄生在文件中的以文件為主要感染對象的病毒。
2、蠕蟲(worm)病毒,Linux平台下的蠕蟲病毒極為猖獗,像利用系統漏洞進行傳播的ramen、lion、Slapper等,這些病毒都感染了大量的Linux系統,造成了巨大的損失。
3、腳本病毒,這樣的多為使用shell腳本語言編寫的病毒,這類病毒編寫較為簡單,但破壞力卻同樣驚人,像以.sh結尾的腳本文件,一個短短數十行的shell腳本就可以在短時間內感染硬碟中所有的腳本文件。
4、後門程序,從增加系統超級用戶帳號的簡單後門,到利用系統服務載入、共享庫文件注射、rootkit工具包,甚至可以裝載內核模塊(LKM)而產生的後門,Linux平台下的後門技術發展非常成熟,隱蔽性強,難以清除,已經成為Linux系統管理員極為頭疼的問題。
❾ 為什麼目前Linux系統上的病毒極少
linux下網游很少(肯定是有的,我都玩過),那麼以盜號為主的產業鏈就無法形成
linux下不能用網銀,那麼以盜銀行帳號獲利的木馬客們就不會出手
linux應用廣泛的是伺服器方面,而伺服器都是有相應的維護人員,這群人有高於普通用戶的安全意識和技術,病毒木馬的機會少
linux的桌面用戶太少,為了這一小部分人專門去做木馬和病毒,利益與投入比例太低,每人會去做
當linux的桌面佔有率和windows一樣,當linux可以玩很多網游,當linux可以用網銀,那個時候哪個系統的病毒多還得走著瞧
------------------------------------------
總體結構設計是否不合理我不太清楚,但肯定是和大眾關注度有關系的。
你說如果我寫一個操作系統,壓根就沒人用,那有誰會去關注這上面有沒有漏洞?
我記得前幾天debian爆出了一個深藏25年的漏洞,一方面顯示出linux的健壯性,一方面也暴露出真正去研究到底層的不多,你覺得呢?
所謂樹大招風,windows這么多人用,自然會有很多人去研究去破壞