阿里云服务器centos7挖矿病毒处理

 

【阿里云】尊敬的1*********6：云盾云安全中心检测到您的服务器：1xx.xx.xx.x5（gateway）出现了紧急安全事件：主动连接恶意下载源，建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理
。云安全中心提供企业版7天免费试用，您可以开通试用查看更多信息。如果您在处理过程中遇到问题，可以咨询阿里云官方电话95187-1

处理过程：

1、查找异常进程，确定病毒进程，定位病毒脚本的执行用户

2、杀掉病毒进程，注意要检查清楚，病毒进程可能有多个，同时也要注意不要误删系统进程或者阿里云的进程

3、检查定时任务，一般都会有，以达到病毒自启的效果，通过定时任务内容定位病毒脚本的位置，然后删除病毒脚本

4、整改用户账号

5、检查系统现有软件漏洞

一、查找异常进程，确定病毒进程

       执行命令top，然后找出使用的cpu以及内存较多的疑似病毒进程。如下图所示，圈起来来的这个进程占用了99%的cpu，而且结合阿里云控制台的风险详情，发现确实是这个xr文件搞得鬼。

【图片分割线】

       一旦找出疑似病毒进程后，记录进程的启动用户以及进程号PID，然后使用命令：

       ls -l /proc/进程号PID/exe

       查看进程的启动文档，一般来说挖矿脚本执行完之后会自我删除，所以此时命令结果可以看到启动文档已被删除。如果没有删除的话，自己手动删除就行了。

       需要注意的是以.开头的文件和目录是隐藏的，也就是说在/目录下使用ls或ll命令是看不到上面那个.XLL目录的。所以删除文件的时候，直接根据全路径名删rm /.XLL/xr

 

二、杀掉病毒进程

       确定病毒进程后，记录进程的启动用户，然后通过命令kill -9 PID杀掉病毒，注意先检查是否操作系统自带的服务或者阿里云服务。

       单纯的杀掉进程并不能完全解决问题，我们会发现过了一段时间后，它又会重启。这种情况很正常，一个病毒如果这么容易就被干掉了，也太弱了。

       重启一般会有个定时执行的任务，因此我们需要查看下定时任务。

三、检查定时任务

执行命令查看该用户的定时任务：

第一种方式执行下面命令：

crontab -u 用户名 -l

如果有，则可以执行命令进行修改删除：

crontab -u 用户名 -e

第二种方式：

       直接查看/etc/crontab文件、/var/spool/cron/文件夹，后者的几率大一些，查看定时任务，检查哪些定时任务是病毒的自启任务，从而找出病毒执行文件位置，然后删除该定时任务及病毒脚本。

       如下图所示，用cat命令打开文件如图。可以看到有三个定时任务，一个是主动连接恶意下载源，一个是访问恶意下载源，一个就是执行恶意挖矿程序的。这个跟阿里云控制台提示的三个风险是一致的。

      找到木马定时任务，后面的工作就简单了。vim打开，删掉这几个定时任务即可。

四、整改用户账号

　　某些病毒是使用常见的用户名，对服务器使用暴力破解密码的方式来攻击服务器，如：mysql、postgres、oracle等等，所以我们要妥善管理用户账号。首先只创建有用账号，一些无用账号直接删除，然后尽量避免使用一些软件名来作为用户名，如刚刚提到的数据库软件名，最后若无远程服务器需求的账号，应创建非登录用户，直接修改/etc/passwd文件把用户改成nologin级别。

五、检查软件漏洞

       检查系统安装的软件是否存在漏洞，有的话则修复，如redis需要加上访问密码或bind 127.0.0.1配置项，tomcat的ajp漏洞则升级tomcat或者禁用ajp的相关服务。

参考文章：https://www.cnblogs.com/fivedays/p/12572178.html