常见挖矿病毒处理方法（qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC）

常见挖矿病毒处理方法

1、常见病毒
病毒名称：qW3xT：
现象：占用超高CPU，进程查杀之后自启动。
中毒案例：（……）
2、病毒名称：Ddgs.3011
现象：占用超高CPU，进程查杀之后自启动。
中毒案例：（……）
3、病毒名称：S01wipefs
现象：占用超高CPU，无定时任务，但是病毒源文件存放在较多位置，比较难清除干净。
中毒案例：（……）
4、病毒名称：acpidtd
现象：占用超高CPU，无定时任务，但是病毒源文件存放在较多位置，比较难清除干净。
中毒案例：（……）
5、病毒名称：MSFC
现象：占用超高CPU及内存，病毒源文件单一，较容易查杀。
中毒案例：（……）

2、中毒基本现象
系统CPU占用接近100%；

系统卡顿，执行基本命令响应缓慢；
系统出现异常进程，无法正常kill；

系统内存异常，占用不稳定。

3、基本分析过程
检查是否存在占用CPU较高的进程：
命令：ps –aux|sort –rn –k +3 |head

检查是否存在占用内存较高的进程：
命令：ps –aux|sort –rn –k +4 |head

检查是否有异常定时任务：
命令：Crontab -l
检查是否有异常自启服务：
命令：ll /etc/rc.d/init.d
Cat /etc/rc.local
检查是否有异常登录记录：
命令：last –a
4、病毒传播及生存原理
通过ssh暴力破解，U盘等物理介质，sql注入等形式将病毒源文件传播到服务器中，并以脚本，定时任务，自启动服务形式，执行挖矿程序，且kill之后能够再次启动。
如下：

5、处理过程
以上涉及的所有病毒，基本上都可以通过以上方法定位，并通过以下步骤进行处理：
1）top 检查可疑进程，pkill 杀死进程，如果进程还能存在，说明一定有定时任务或守护进程（开机启动），检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.lcoal
2）找到可疑程序的位置将其删除，如果删除不掉，查看隐藏权限。lsattr chattr 修改权限后将其删除即可。
3）查看/root/.ssh/目录下是否设置了免秘钥登陆，并查看ssh_config配置文件是否被篡改。
4）在防火墙关闭不必要的映射端口号，重启再测试是否还会有可疑进程存在。
以上提及的所有病毒查杀方法如下附件：

6、结果验证
系统资源占用恢复正常：

无病毒相关进程：

系统使用恢复正常，无明显卡顿：
不再自动生成异常定时任务：

在/etc/rc* 这些目录下，没有病毒相关异常文件：

7、基本防护
1、建议配置login.defs文件。具体可参考如下：
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
FAIL_DELAY 10
2、配置pam.d/system-auth文件，具体可参考如下：
account required /lib/security/pam_tally.so deny=5 no magic_root reset。
password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8
3、建议创建其他管理账号，禁用root账号远程管理；
4、建议使用chmod命令修改rc3.d等文件权限，满足配置文件权限不能大于644，可执行文件不能大于755的原则。
5、建议系统部署支持统一管理的恶意代码防范软件，定期对服务器操作系统进行恶意代码扫描。
7、建议限制登录终端的操作超时锁定时间，具体可参考如下：
配置/etc/profile文件，添加TMOUT=300，超时退出参数。
8、配置 /etc/hosts.deny和/etc/hosts.allow文件，限制终端登陆地址范围
针对每种病毒的特性，也有相应的防护方法，具体请参照以下内容防护部分。