Linux挖矿病毒清理流程

Linux挖矿病毒清理流程

1.前言:

根据阿里云快讯病毒公布:

Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。 

        当服务器中毒了,使用SSH/FTPS大多连接不上的。这时候就需要到云平台,使用VNC方式登录。

2.确认Linux是否是中毒

1.使用命令查看当前系统所有进程

一般消耗CUP或者内存90%以上的基本都是病毒,常见的挖矿进程:xfsdatad、rshim、YDService.exe、kinsing、kdevtmpfsi、sysupdate、systemxlv、kthreaddi、kthreaddk 等,病毒进程一版都会跟系统进程名称相似,要注意区分

top 或 ps aux | less

注:top实时监控退出按键:q

2.查看隐藏进程

如果top命令查看没发现异常,但是服务器依然很卡,服务器资源占用居高不下,那就换个命令,查看是否存在隐藏进程

ps -aux --sort=-pcpu|head -10

3.

你可能感兴趣的:(Liunx,linux,运维,服务器)