问题描述

Linux进程

阿里云管理控制台看看CPU占用率

解决方案

top命令

获取进程号

查看进程运行的文件位置

ls 命令

ls -l proc/{进程号}/exe

sysupdate、networkservice都在/etc/目录下

到etc下，除了sysupdate、networkservice 同时还有sysguard、update.sh，除了update.sh其余的都是二进制文件，应该就是挖矿的主程序以及守护程序了。

病毒脚本分析

即update.sh：

1，在 /root/.ssh/authorized_keys里面，添加病毒投放者的公钥，保证其可以使用 SSH 登录到服务器。

2，下载

config.json （挖矿配置）、

sysupdate （XMR 挖矿软件）、

update.sh （病毒主脚本）、

networkservice(scanner扫描并入侵其他的主机)、

sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)

并保证他们以 root 权限运行。

3,kill其他的挖矿病毒（优秀。。。）。

................................

删除定时任务

rm /var/spool/cron/root 或crontab -r

杀掉进程

kill命令

kill -9 {进程号}

删除文件

文件无法直接删除，因为一般病毒会使用chattr +i命令。

我们使用

chattr -i sysupdate
rm -f sysupdate
chattr -i networkservice
rm -f networkservice
chattr -i sysguard
rm -f sysguard
chattr -i update.sh
rm -f update.sh
chattr -i config.json
rm -f config.json

对于/root/.ssh/authorized_keys文件可以选择删除或修复

不能确定病毒投放者的KEY时建议全部删除。

其他问题

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1、修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统，我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开，可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing，然后重新启动服务器。

2、wget命令和curl命令会被改为wge和cur，这样用着很变扭，改回来
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
3、恢复防火墙配置

这里给出病毒脚本修改的iptables配置的语句，方便读者修复
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
如果你的iptables策略确定被清除并且修改了，那直接清空并重新配置即可。

参考文章

https://notes.daiyuhe.com/clear-linux-mining-virus/

https://blog.csdn.net/weixin_41762839/article/details/105113868

https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656

Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案相关推荐

记录一下今天发生的linux挖矿病毒之networkservice进程
一早上班打开电脑,习惯性的登陆服务器,没有往日的顺畅感,特别的慢,难道是因为我电脑不关机的原因? 此时我又打开了别的服务器,结果非常快的就上去了,这就不对劲了,马上却换到特别卡的那台服务器查看: 以为 ...
Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录起因清除过程确定病因开始清除复发定时任务 update.sh分析修复样本分析:networkservice文件的分析分析准备功能分析 sysguard 样本下载 *本文中涉 ...
Linux挖矿病毒的清除与分析
清除过程确定病因这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程. 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他. 使 ...
Linux挖矿病毒事件应急响应演练(dbused木马)
文章目录 1 环境准备 2 攻击阶段 3 应急响应 3.1 检测阶段 3.2 根除阶段 1 环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.1 ...
清除Linux挖矿病毒
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的. top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%. 查了下资料,才发现是被人利用挖矿了. 不过不要急 ...
linux挖矿病毒清除 .ssh3 /tmp/.
症状: cpu 飙高,如果有java 程序的话会发现程序每隔30分钟重新启动一次用top命令查看发现 /tmp/. 这个程序非常消耗cpu 病毒源码病毒定时任务清除过程: 1. 先停止定时任 ...
Linux挖矿病毒排查(通过redis入侵服务器原理)
入侵原理攻击者通过redis连接服务器在服务器上写入ssh免密登录的公钥 1.生成 ssh 公私钥文件, 写入待发送文件* ssh-keygen -t rsa -C "xxx"* ...
linux 挖矿病毒解决（syst3md）
早上来了测试服务器哇哇的响,一猜肯定是有异常病毒了,登陆服务器查看果然有问题.内存直接占了2000多,直接执行kill -9 pid 干掉之后,自己又重新起来了.然后就排查解决过程 1. 先看是否存 ...

Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案