系统环境:CentOS Linux release 7.6.1810 (AltArch)
CPU架构:ARM
最近发现生产服务器CPU占用过高但是查看进程却没有任何过高的进程,最高也才是1点多,而且系统经常收到root用户发送的邮件
所以有理由是怀疑中了挖矿病毒,查看网络连接信息(命令:netstat -napt)后发现一条疑似矿池的连接记录
然后去查找这个IP地址发现是M国的一个地址,去到某服安全中心查看这个IP果然是矿池地址无疑
显示结果跟网络连接中的信息是一样的,这下确定无疑了
首先根据root用户发送给系统的邮件内容的路径去查看文件,
cat /etc/ld.so.preload发现内容是/usr/local/lib/libprocesshider.so,是linux系统的一个链接库,在这个文件里面写下的地址系统在运行程序时会自动去这些个目录里面找需要的动态库文件,先删除试一下
发现无法删除,查找资料后得知Linux系统还有一个叫文件锁定保护的命令,具体参数如下:
使用chattr命令解除锁定然后删除
chattr -i /etc/ld.so.preload
rm -rf /etc/ld.so.preload然后再对/usr/local/lib/libprocesshider.so进行操作,直接一步到位,解除锁定,然后删除
chattr -i /usr/local/lib/libprocesshider.so
rm -rf /usr/local/lib/libprocesshider.so执行成功,继续下一步,查看定时任务,并清理,查询cron.d、cron.hourly、crontab目录或文件的异常
lockr -i /etc/cron.d/phps
rm -rf /etc/cron.d/phps
lockr -i /sbin/httpss
rm -rf /sbin/httpss查看/etc/crontab文件内容,/etc/crontab是linux系统定时任务配置文件所在,用vim编辑器删除最后3行,最后3行就是病毒链接所在,还是一样,不管有没有,先解除锁定,再修改
chattr -i /etc/crontab
vim /etc/crontab
查看定时任务并修改
crontab -l
crontab -e回显提示crontab: error renaming /var/spool/cron/#tmp.localhost.localdomain.XXXXPL0tU3 to /var/spool/cron/root
rename: 不允许的操作
crontab: edits left in /tmp/crontab.IFed5j,说明/var/spool/cron/root,/tmp/crontab.IFed5j这两个目录文件都有问题,跟定时任务是相关联的,先清除这几个文件,防止上锁,先解锁,再删除
chattr -ia /var/spool/cron/root
rm -rf /var/spool/cron/root
chattr -ia /tmp/crontab.IFed5j
rm -rf /tmp/crontab.IFed5j进入到/tmp目录下查看是否还有其他的缓存文件,如果有,一并删除(crontab -e所产生)
# 服务清理及自启动清理,查看/etc/rc.d/init.d/目录,/etc/rc.d/rc.local文件,/lib/systemd/system文件
cd /etc/rc.d/init.d/ #无异常
cat /etc/rc.d/rc.local #无异常
cd /lib/systemd/system #发现异常服务文件
删除服务
查看系统hosts解析文件有无异常,如有异常用vim编辑器修改
清理各目录下的病毒文件
查看/etc/profile文件
回显显示最后4行文件有问题,用vim删除
vim /etc/profile发现目录/etc/profile.d/下出现异常文件:php.sh、supervisor.sh
查看内容
查看supervisor.sh显示/etc/.supervisor/supervisord.conf
删除删除php.sh,supervisor.sh,/etc/.supervisor/supervisord.conf
最后删除/etc/.sh /usr/bin/.sh
chattr -ia /etc/.sh /usr/bin/.sh
rm -rf /etc/.sh /usr/bin/.sh最后清除邮件并重启
开机后查看网络连接信息发现刚开始的那条IP已经没有了,说明残留的病毒文件已经清理完成
为了再次防止这个矿池来搞事情,最好在出口区域的安全设备的对该地址及域名相关进行封禁
————本文为原创,转载请禀明出处