Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案

问题描述

Linux进程 

阿里云管理控制台看看CPU占用率

解决方案 

 

top命令

获取进程号

查看进程运行的文件位置

ls 命令

ls -l proc/{进程号}/exe

sysupdate、networkservice都在/etc/目录下

到etc下，除了sysupdate、networkservice 同时还有sysguard、update.sh，除了update.sh其余的都是二进制文件，应该就是挖矿的主程序以及守护程序了。

病毒脚本分析

即update.sh：

1，在 /root/.ssh/authorized_keys里面，添加病毒投放者的公钥，保证其可以使用 SSH 登录到服务器。

2，下载

config.json （挖矿配置）、

sysupdate （XMR 挖矿软件）、

update.sh （病毒主脚本）、

networkservice(scanner扫描并入侵其他的主机)、

sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)

并保证他们以 root 权限运行。

3,kill其他的挖矿病毒（优秀。。。）。

................................

删除定时任务

rm /var/spool/cron/root 或crontab -r

杀掉进程

kill命令

kill -9 {进程号}

删除文件

文件无法直接删除，因为一般病毒会使用chattr +i命令。

我们使用

chattr -i sysupdate
rm -f sysupdate 
chattr -i networkservice
rm -f networkservice
chattr -i sysguard
rm -f sysguard
chattr -i update.sh
rm -f update.sh
chattr -i config.json
rm -f config.json

对于/root/.ssh/authorized_keys文件可以选择删除或修复

不能确定病毒投放者的KEY时建议全部删除。

其他问题 

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1、修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统，我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开，可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing，然后重新启动服务器。

2、wget命令和curl命令会被改为wge和cur，这样用着很变扭，改回来

mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

3、恢复防火墙配置

这里给出病毒脚本修改的iptables配置的语句，方便读者修复

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload

如果你的iptables策略确定被清除并且修改了，那直接清空并重新配置即可。 

参考文章 

https://notes.daiyuhe.com/clear-linux-mining-virus/

https://blog.csdn.net/weixin_41762839/article/details/105113868

https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656