云主机遭遇挖矿病毒处理方法

方案：手动处理挖矿程序

挖矿程序为了最大程度获取利益，会存放大量的持久化后门，导致病毒杀不死或难以清理。如果您在未购买云安全中心服务的情况下遇到挖矿病毒，可以采取如下措施排查和处理。

Linux系统

下文以伪装成阿里云进程的恶意进程AliyunDuns导致的挖矿入侵事件为例介绍手动处理挖矿程序的具体操作。

1. 执行以下命令查看挖矿进程的执行文件链接。

   放大查看复制代码

   grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd" /etc/systemd/system/*

   为了防止进程名称变化，您可以通过执行下述命令，检查系统中占用大量CPU的进程，通过CPU占用情况排查可疑进程。

   放大查看复制代码

   top -c 
   ps -ef

2. 如果发现类似下图，非业务相关的服务内容，则您需要删除对应的服务项和服务启动的恶意文件。

   

3. 分别执行以下命令删除对应的服务项和服务启动的恶意文件。

   放大查看复制代码

   rm -f /etc/systemd/system/sysetmd.service
   rm -f /etc/systemd/system/monero.service

   说明

   如果已删除服务项sysetmd.service和monero.service，云安全中心仍检测到对应的挖矿告警，您需要在服务器中执行sudo systemctl daemon-reload命令，重新加载缓存，即可解决重复告警的问题。

4. 分别执行以下命令找到对应的进程。

   放大查看复制代码

   ps -aux | grep xmrig
   ps -aux | grep sysetmd

   

5. 分别执行下述命令，强制停止进程并删除进程文件。

   放大查看复制代码

   kill -9 24381
   kill -9 28347
   rm -f /root/xmrig-6.21.1/xmrig
   rm -f /opt/sysetmd

6. 排查并处理异常用户。

   1. 执行下述命令查询系统用户列表，锁定异常用户名称。

      放大查看复制代码

      cat /etc/passwd

   2. 执行下述命令查看异常系统用户的信息。异常系统用户以shaojiang99为例。

      放大查看复制代码

      cat /etc/passwd | grep shaojiang99
      cat /etc/shadow | grep shaojiang99

   3. 执行下述命令删除异常系统用户。

      放大查看复制代码

      chattr -i /etc/passwd
      chattr -i /etc/shadow
      sed -i '/^shaojiang99:/d' /etc/shadow
      sed -i '/^shaojiang99:/d' /etc/passwd

7. 检查并清除您服务器的防火墙中存在挖矿程序的矿池地址。

   1. 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。

      放大查看复制代码

       iptables -L -n

      

   2. 执行以下命令清除恶意矿池地址。

      放大查看复制代码

       vi /etc/sysconfig/iptables

8. 执行以下命令排查是否存在定时任务。

   放大查看复制代码

   crontab -l

   

   您可以根据排查的结果，对可疑的定时任务文件进行处理，防止二次入侵。

9. 执行以下命令检查SSH公钥中是否存在挖矿病毒，防止出现持续后门。

   放大查看复制代码

   cat .ssh/authorized_keys

   

10. 在其他服务器中执行下述命令，查看CPU占用情况，排查可疑进程，确认是否存在挖矿行为，防止挖矿病毒重复感染内网中的其他服务器。

    放大查看复制代码

    top -c 
    ps -ef

Windows系统

1. 在PowerShell中执行以下命令，通过CPU占用情况排查可疑的挖矿进程。

   放大查看复制代码

    ps | sort -des cpu
    While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

2. 执行以下命令，查看挖矿进程的磁盘文件、进程启动命令的参数。

   放大查看复制代码

   wmic process where processid=xxx get processid,executablepath,commandline,name     //xxx表示进程pid

3. 结束挖矿进程，清除挖矿文件。

4. 执行以下命令，检查主机连接的可疑网络端口。

   放大查看复制代码

   netstat -ano | findstr xxx            // xxx表示可疑的网络端口

5. 执行以下命令，检查服务器中hosts文件是否存在挖矿程序的矿池地址。

   放大查看复制代码

   type  C:\Windows\System32\drivers\etc\hosts

6. 执行以下命令，排查是否存在挖矿程序设定的计划任务。

   放大查看复制代码

   schtasks /query

其他方案

如果病毒入侵较深，关联到系统底层组件，很难手动排查和清除。强烈建议您在备份重要数据后，重置服务器的系统，以确保完全清理挖矿程序。具体操作步骤如下：

1. 创建快照备份服务器上的重要数据。具体操作，请参见创建一个云盘快照。

2. 初始化服务器的操作系统。具体操作，请参见重新初始化系统盘。

3. 使用快照生成云盘。具体操作，请参见使用快照创建云盘。

4. 挂载云盘到重装系统后的服务器上。具体操作，请参见挂载数据盘。