linux病毒查杀

1. 搜索主机的主要异常特征
   【1】 挖矿进程名
   【2】网关报警域名/IP
   2.搜索主机可疑特征
   【1】定时任务 crontab -l

   
   4360761-4cc392bfc2c02491.png

4360761-5019ee9d57fece80.png

【2】可疑文件路径

image.png image.png

【3】可疑网络连接

image.png

2.常见Linux病毒家族
老一辈： BillGates
新生代家族： DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族：Mirai、Gafgyt

3. 病毒特点
   BillGates
   【1】在/tmp目录下有gates.lod、moni.lod文件
   【2】访问域名www.id666.pw
   【3】将系统文件（ss、netstat、ps）替换成病毒的伪装文件
   DDG
   【1】tmp目录下有ddgs.+数字的ELF文件
   【2】存在下载i.sh的定时任务
   SystemMiner
   【1】访问带有tor2web、onion字符串的域名
   【2】在/tmp目录下有systemd的文件（后期版本为随机名）
   【3】存在运行systemd-login的定时任务（后期版本为随机名）
   StartMiner
   【1】定时任务里有包含2start.jpg的字符串
   【2】/tmp目录下存在名为x86.的病毒文件
   【3】有多个病毒伪装定时任务文件：apache、nginx、root
   WatchdogsMiner
   【1】存在执行pastebin.com上恶意代码的定时任务
   【2】/tmp目录下存在一个名为watchdogs的病毒文件
   XorDDos
   【1】存在病毒文件/lib/libudev.so
   【2】在/usr/bin, /bin, /lib, /tmp目录下存在随机名病毒文件
   【3】存在执行gcc.sh的定时任务
   Mirai
   【1】多平台攻击，病毒文件中带有架构名
   【2】由于代码开源，Mirai每天都在变种

4.三步轻松清除挖矿病毒
【1-1】定位挖矿进程 1.top、htop
【1-2】清除挖矿进程 kill -9 [pid]
【2-1】根据进程信息定位文件 ll /proc/[pid]/exe
【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]
【3-1】检查定时任务 crontab -l , ll /etc/cron.d/
【3-2】清除定时任务 crontab -r *注意是否存在业务需要的定时任务
【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron
【3-4】 删除定时任务文件 rm /etc/cron.d/[file]

5.顽固病毒对抗技巧

image.png

关键字关联可以进程： ps -elf | grep [sh、wget、curl、xmr、mine、ssh] | grep -v grep

6.主机卡顿但找不到挖矿进程
使用busybox的top命令，