一般情況下,挖礦病毒都是自動掃描+自動掛馬生成的,並不會是有專人進行攻擊,所以也比較好清除,注意清除之后需要 check 有無后門。
最重要幾點(也可能是被hack的原因):禁止 ROOT 用戶登陸,ROOT 不能使用弱密碼,FRP 需要配置,不能使用默認選項。
挖礦進程占用的 CPU 資源比較大,且被殺掉之后會自動重啟,比較好識別。
可以先用ps -ef | grep $PID看一下相應的命令,如果可以看到就比較好定位,看不到也沒關系。
一般情況下,挖礦病毒都會自動重啟,可以在 crontab -l 里面看有沒有對應的定時任務,如果沒有就在 /etc/cron* 里面幾個對應的文件夾下看下,這里面本身就有系統自帶的文件,所以需要每個文件都對應的看看,crontab 里面沒有一般就在這里面。這樣基本上就可以找到對應的文件。可以使用 ls -al 查看對應文件創建的時間,可以大概估算被入侵的時間。刪除的時候,可能會發現沒有刪除權限,這可能是 chattr 命令導致的,使用 chattr +sia a 選項會讓文件只能被 append,i 選項會讓文件不能被修改。所以可以使用 chattr -sia $FILE 的方式來進行恢復,之后就可以刪掉。
有的病毒可能不只是有定時任務,還會加入開機啟動,需要在 /etc/init.d/ 里面查看有沒有對應的文件,注意!此時病毒可能已經更改了名稱,最好使用 md5 去對比。
同時可以用 lsof -p $PID 看下挖礦對應的網絡鏈接,可以用 UFW 把這些鏈接 ban 掉。
最后需要檢查有沒有在 ssh 中留后門。查看 /etc/ssh/authorized_keys 文件,有沒有異常的密鑰加進來。
一些有用的信息 /var/log/auth.log 可以看到相應的 ssh 記錄,里面應該可以看到掃描記錄,ban 掉掃描的 IP。history 命令可以看到之前的命令記錄,但是這個不一定有用,理論上可以把命令歷史刪除。