服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案

avatar
作者
猴君
阅读量:1
01 什么是挖矿病毒

挖矿病毒通常是恶意软件的一种,它会在受感染的系统上无授权地挖掘加密货币。关于"syst3md",是一种特定的挖矿病毒,它通过在受感染的Linux系统中执行一系列复杂操作来达到其目的。这些操作包括使用curl从网络下载病毒并执行,随后删除病毒文件以隐藏其痕迹。病毒可能会利用系统的弱点或不安全的配置,如SSH服务被暴力破解,来传播和执行其恶意活动​​。

02 服务器遭受挖矿病毒的一些症状

CPU要爆了,谁敢跑满一半CPU!!!病毒敢!!!

伪装者rcu-sched!

03 什么原因导致的被病毒入侵进攻

3.1 外网打开,由于在github或者某些网站下载数据或程序导致IP被追踪,然后摸着线进来了,顺藤摸瓜。这个瓜就是自己的服务器!

3.2 某些账户的密码强度过弱,被暴力破解,嘎了,尤其是这个账户之前登陆过root账户,有过切换。

这么,他就黑进去shh,然后创建自己的定时任务,和病毒账户,生成一个杀不死的挖矿病毒。

04 如何解决
4.1 最好关闭外网
systemctl stop skynet.service # 关闭外网
4.2 关闭内网穿透
systemctl stop frpc   #关闭穿透

准备好关门打狗!

4.3 关闭定时任务并清空

有枣没枣打两杆子,全部清空

crontab -l  #查看如果都是非正常定时脚本直接全部姗除。 crontab -r   #全部删除
4.4 top找到进程,lsof+grep寻找文件出处
lsof -p pid   #这个查看top ps -aux| grep rcu-sched    #这个查看top

4.5 查看进程的环境变量/proc/pid/environ

可以在/proc/pid/environ中查看该进程的初始环境

cat /proc/121332/environ XDG_SESSION_ID=43793HOSTNAME=bogonTERM=xtermSHELL=/bin/bashHISTSIZE=1000QTDIR=/usr/lib64/qt-3.3QT_GRAPHICSSYSTEM_CHECKED=1USER=rootLS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=01;05;37;41:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=01;36:*.au=01;36:*.flac=01;36:*.mid=01;36:*.midi=01;36:*.mka=01;36:*.mp3=01;36:*.mpc=01;36:*.ogg=01;36:*.ra=01;36:*.wav=01;36:*.axa=01;36:*.oga=01;36:*.spx=01;36:*.xspf=01;36:SUDO_USER=serverSUDO_UID=1042USERNAME=rootMAIL=/var/spool/mail/serverPATH=/data/apps/miniconda/bin:/sbin:/bin:/usr/sbin:/usr/bin:/opt/biosoft/mafft/bin/:/sbin:/bin:/usr/sbin:/usr/bin:/opt/biosoft/mafft/bin/PWD=/dev/shm/.ICE-unixLANG=en_US.UTF-8MODULEPATH=/usr/share/Modules/modulefiles:/etc/modulefilesKDEDIRS=/usrLOADEDMODULES=HOME=/rootSUDO_COMMAND=/bin/suSHLVL=2LOGNAME=rootXDG_DATA_DIRS=/root/.local/share/flatpak/exports/share:/var/lib/flatpak  寻找得到SUDO_USER=server  异常账户,需要删除 USERNAME=rootMAIL=/var/spool/mail/server   异常邮件地址,需要删除异常账户  寻找得到  PWD=/dev/shm/.ICE-unix    病毒地址,这里和上一步保持一致
4.6 杀死进程kill-9 pid 防止死灰复燃!!
kill -9 pid killall -9 pid
4.7 进入病毒文件夹并删除,注意他以.开头命令,常规rm删不掉
cd /dev/shm/.ICE-unix  rm -rf ./* 
4.7.1 chattr -i增加权限

删不掉?可能权限不够,或者这个病毒权限已经修改锁死了,高级病毒就这样

chattr -ia 病毒文件   ##增加可删除权限 或 sudo chattr -ia 病毒文件 sudo chattr -i 病毒文件   以上两种方式均可!
4.7.2 病毒保护进程systemctl status

什么?这个病毒有保护进程?先杀保护进程,确定保护进程文件夹位置,关门打狗删除!

systemctl status 病毒进程  现实的保护进程全部 kill -9,然后删掉保护进程文件,然后再去动病毒!  再次查看进程 ps aux|grep 病毒  rm -rf 绝对路径的病毒保护进程文件夹 
4.8 删除病毒创建的用户及其邮箱
userdel -r 用户   #彻底删除病毒账户
4.9 修改被进攻的账户密码,继续关门!

 开始给暴力破解的账户修改密码

passwd 用户 newpassword+retype 
4.10 死灰复燃了????因为没删干净定时任务

进入root权限系统文件,查看最近被修改的文件夹

 ls -lt | head -n 10   #查看近期修改的文件夹,逐级查看

再次排查定时任务文件架,时间不对的全删了!

cd /var/spool/cron   #删掉病毒当天的全部文件!被攻击账户除外,修改密码即可!或者进入这个账户删去脚本!
4.11 排查/dev  /tmp /home /root 等时间被修改的,找到小贼,清空/tmp
rm -rf ./*   ./.I*
4.12 top查看,没有死灰复燃,搞定
05 小结
关门大狗大发小结:

1 关闭外网

2 寻找病毒进程及其保护进程文件地址

3 修改被攻击账户密码

4 删除掉定时任务,清理定时任务文件夹

5 杀死病毒及其保护进程进程并删除文件

6 删掉病毒当天时间戳文件,可能被修改或者病毒利用

一折腾一个晚上,一个上午过去了,啊写论文的时间又少了,可恶的病毒!

06 参考文献

傅继晗.    基于动态特征分析的网页挖矿劫持攻击识别模型[D].    浙江理工大学,    2023.     DOI:10.27786/d.cnki.gzjlg.2023.000804.   
何晓明.  基于Linux服务器挖矿病毒处置策略和防御策略研究    [J].  电脑编程技巧与维护,  2022,    (08):  3-6+47.  DOI:10.16184/j.cnki.comprg.2022.08.052.
赵文军.  挖矿病毒处理案例分析及思考    [J].  现代信息科技,  2020,  4  (12):  145-147.  DOI:10.19850/j.cnki.2096-4706.2020.12.045.
冯彬,黄小飞.  Linux服务器安全防范    [J].  电子技术与软件工程,  2018,    (15):  181-182.  

廖保生.    黄花蒿单倍型染色体组装及结构变异对青蒿素生物合成影响解析[D].    中国中医科学院,    2021.     DOI:10.27658/d.cnki.gzzyy.2021.000032.   

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!