挖矿病毒来势汹汹

病毒来了, 我的个人站点使用了 wordpress, 它的不知哪个漏洞让黑客攻入了我的站点

使用 top 命令看到了有不明进程始终占据了 100% 的 CPU

snapshot 1 snapshot 2

通过以下 "三板斧"可以查杀这个进程

1. 先用 top (shift+p) 查找占据 CPU 最多的进程

2. 根据其进程号 pid 查看这个进程在哪里

$ sudo ls -l /proc/$pid/cwd
$ sudo ls -l /proc/$pid/exe
$ sudo cat /proc/$pid/cmdline
$ sudo cat /proc/$pid/environ

3. 先杀后删

$ kill -9 $pid
$ rm -f $proc_location

上面这三板斧经常没什么用, 一会儿它又起来了, 通过 'crontab -l' 也没看到有 cronjob 存在, 不过可以断定它是通过 wordpress docker 的 php 进程侵入进来了, 于是更新 docker image, 删除 9000 端口映射, 重启 docker 进程, 暂时没有再发现有可疑进程.

针对挖矿病毒的开源和免费检测及防护工具有不少，需要花钱的不说, 有些开源或免费的可以尝试用来保护你的服务器：

1. ClamAV

• 类型: 开源防病毒软件
• 特点:
  • ClamAV 是一款跨平台的开源防病毒引擎，主要用于检测和移除多种类型的恶意软件，包括挖矿病毒。
  • 它可以集成到邮件服务器、Web服务器等系统中，用于实时监控和防护。
  • 定期更新病毒库，具有较强的可定制性。
• 官网: ClamAV

2. Malwarebytes

• 类型: 免费和付费版本的恶意软件清除工具
• 特点:
  • 虽然主要功能是恶意软件检测，但它的免费版本可以扫描系统并移除挖矿病毒和恶意软件。
  • 付费版本有实时防护功能，可以防止浏览器加载挖矿脚本。
  • 易于使用，适合个人和小型企业。
• 官网: Malwarebytes

3. NoCoin

• 类型: 浏览器扩展
• 特点:
  • NoCoin 是一款免费开源的浏览器扩展，旨在阻止浏览器挖矿脚本的执行。
  • 支持 Chrome、Firefox 和其他基于 Chromium 的浏览器，能够拦截常见的 JavaScript 挖矿脚本。
  • 轻量级且不影响浏览体验，是防止“浏览器挖矿”非常有效的工具。
• GitHub: NoCoin GitHub

4. MinerBlock

• 类型: 浏览器扩展
• 特点:
  • MinerBlock 是另一个用于浏览器的开源扩展，类似于 NoCoin，专门防止恶意挖矿脚本在浏览器上运行。
  • 它通过阻止已知的挖矿域名和嵌入的挖矿脚本来起到防护作用。
  • 可以动态检测并阻止新的挖矿行为，不需要频繁更新列表。
• 官网: MinerBlock

5. Chkrootkit

• 类型: 开源 rootkit 检测工具
• 特点:
  • Chkrootkit 是用于检测和移除 rootkit 的轻量级开源工具，可以检测隐藏的挖矿病毒及恶意软件。
  • 通过扫描系统中可疑的二进制文件和进程，它能够发现已知的恶意软件。
  • 尤其适用于 Linux 环境的挖矿病毒检测。
• 官网: Chkrootkit

6. rkhunter (Rootkit Hunter)

• 类型: 开源 rootkit 检测工具
• 特点:
  • Rootkit Hunter 是一个跨平台的开源工具，专门用于检测 rootkit、后门程序以及其他恶意软件，能够帮助发现隐藏的挖矿病毒。
  • 它会检查系统中的隐藏文件、可疑权限、特洛伊木马和rootkit。
  • 支持 Linux 和 Unix 系统，适合服务器环境中的恶意挖矿检测。
• 官网: rkhunter

7. Cudo Miner

• 类型: 免费的挖矿管理工具（带检测功能）
• 特点:
  • Cudo Miner 主要是一款合法的加密货币挖矿软件，但它也带有防止恶意挖矿的功能。
  • Cudo Miner 会监控系统资源使用情况，帮助用户识别是否存在其他恶意挖矿行为，从而防止不必要的资源浪费。
  • 尤其适合对加密货币挖矿感兴趣但又担心挖矿病毒的用户。
• 官网: Cudo Miner

8. OSSEC

• 类型: 开源入侵检测系统 (HIDS)
• 特点:
  • OSSEC 是一款免费开源的主机入侵检测系统，能够检测系统中的可疑活动，包括恶意挖矿行为。
  • 它可以通过日志分析、文件完整性检查、rootkit 检测等方式，实时监控并发出告警。
  • 适用于复杂的服务器和企业网络环境。
• 官网: OSSEC

9. Sophos Home Free

• 类型: 免费防病毒和防恶意软件工具
• 特点:
  • Sophos 提供一个免费版本的家庭用户防护工具，可以帮助用户检测和阻止挖矿病毒及其他恶意软件。
  • 具有基于云的防护功能，能够阻止来自互联网的恶意脚本和网络威胁。
• 官网: Sophos Home Free