挖矿检查
- /var/log/secure日志中存在大量密码错误登录信息(打开后有一堆信息,好像是有直接查看的命令来着)
- 执行pam_tally2,存在大量用户错误尝试密码信息
- 系统存在未知的高CPU使用率进程;
- /var/spool/cron/目录不为空,且文件中存在未知程序;
- 执行lsattr $(which ssh)出现i或者a等属性(root失陷);
- 使用root执行netstat -antp,出现大量目的地址不明的连接。
Linux服务器挖矿病毒处置与加固步骤:
- 重装系统,如果数据盘独立分区,可以考虑保留数据盘;说明:病毒顽固,且隐藏在系统多处,难以一一查得文件修复
- 修改root口令和所有其他用户口令,必须具有强度,且不可与之前的一致。说明:黑客在系统中植入了密码记录程序,之前的用户密码已在黑客的掌握之中
- 配置可远程ssh登录服务器的IP范围,如配置/etc/hosts.deny为:sshd:ALL except 127.0.0.1,192.168.0.上述配置仅允许127.0.0.1和192.168.0段IPssh登录服务器;
- 严格控制root用户和sudo用户范围;
- 配置密码错误尝试锁定策略,如配置/etc/pam.d/sshd,增加auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300上述配置在用户3次错误输入后,将锁定300秒.说明:挖矿病毒多采用爆破ssh口令方式侵入
- 更改ssh默认登录端口,如配置/etc/ssh/sshd_config Port 2009上述配置将ssh默认端口改成2009,修改后需重启sshd服务或重启服务器
- 禁止普通用户使用cron执行定时任务,配置
echo root >/etc/cron.d/cron.allow说明:挖矿病毒大多以定时任务进行自启动
(选用策略)配置系统防火墙或采购物理防火墙,限制服务器可访问的互联网域名或IP地址,禁止与未知的网站或IP通信。