标签：运维 1.3 清除 etc chattr 木马 Linux 挖矿

目录

• 1 挖矿木马
  • 1.1 定义
  • 1.2 挖矿特征
  • 1.3 解决挖矿木马
    • 1.3.1 阻断异常网络通信（非必需）
    • 1.3.2 清除定时任务
    • 1.3.3 清除启动项
    • 1.3.4 清除SSH公钥
    • 1.3.5 清除木马进程
  • 1.4 其他常见问题
    • 1.4.1 清除木马后又100%
    • 1.4.2 CPU占用100%却看不到进程

1 挖矿木马

1.1 定义

挖矿木马会占用CPU进行超频运算，从而占用主机大量的CPU资源，严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源，一般都会对全网进行无差别扫描，同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点，在主机被成功入侵之后，挖矿木马还会向内网渗透，并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示：

1.2 挖矿特征

通过执行top命令，即可在返回结果中看到当时系统的CPU占用率

查看系统资源占用率显示运行命令行
top -c

1.3 解决挖矿木马

1.3.1 阻断异常网络通信（非必需）

挖矿木马不仅会连接矿池，还有可能会连接黑客的C2服务器，接收并执行C2指令、投递其他恶意木马，所以需要及时进行网络阻断。

检查主机防火墙当前生效的iptables规则中是否存在业务范围之外的可疑地址和端口，它们可能是挖矿木马的矿池或C2地址

iptables -L -n

从iptables规则中清除可疑地址和端口

vim /etc/sysconfig/iptables

阻断挖矿木马的网络通信

iptables -A INPUT -s 可疑地址 -j DROP
iptables -A OUTPUT -d 可疑地址 -j DROP

1.3.2 清除定时任务

查看系统当前用户的计划任务：

crontab -l

查看系统特定用户的计划任务：

crontab -u username -l

查看其他计划任务文件：

cat /etc/crontab
cat /var/spool/cron
cat /etc/anacrontab
cat /etc/cron.d/
cat /etc/cron.daily/
cat /etc/cron.hourly/
cat /etc/cron.weekly/
cat /etc/cron.monthly/
cat /var/spool/cron/

在这些文件内，有可疑文件就立即处理掉

但是，很多挖矿木马做的安全措施很到位，不能直接用-e进行处理，即使是root用户也没用权限
如果无法删除crontab中的定时任务，且提示chattr不是命令则：

cd /usr/bin
cp chattr chattr.new
chmod u+x chattr.new
chattr.new -i chattr
rm -rf chattr.new
chmod u+x chattr

chattr -ai /etc/bin/cron.d
chattr -ai /var/spool/cron
chattr -ai /var/spool/cron/root
#然后执行如下命令进行删除
crontab -e

1.3.3 清除启动项

除了计划任务，挖矿木马通过添加启动项同样能实现持久化。可以使用如下命令查看开机启动项中是否有异常的启动服务。

CentOS7以下版本：
chkconfig –list

CentOS7及以上版本：
systemctl list-unit-files

如果发现有恶意启动项，可以通过如下命令进行关闭：

CentOS7以下版本：
chkconfig 服务名 off

CentOS7及以上版本：
systemctl disable 服务名

点击了解开机自启相关命令
另外，还需要仔细排查以下目录及文件，及时删除可疑的启动项：

/usr/lib/systemd/system
/usr/lib/systemd/system/multi-user.target.wants
/etc/rc.local
/etc/inittab
/etc/rc0.d/
/etc/rc1.d/
/etc/rc2.d/
/etc/rc3.d/
/etc/rc4.d/
/etc/rc5.d/
/etc/rc6.d/
/etc/rc.d/

排查的时候，可以按照文件修改时间来排序，重点排查近期被创建服务项

1.3.4 清除SSH公钥

挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥，这样子就算用户将挖矿木马清除得一干二净，黑客还是可以免密登陆该主机，这也是常见的保持服务器控制权的手段。

排查~/.ssh/authorized_keys文件，如果发现可疑的SSH公钥，直接删除。

注意：需要用lsattr和chattr命令来修改权限，才可以删除

1.3.5 清除木马进程

通过top -c命令确定PID
确认相关进程为挖矿进程后，按照如下步骤将其清除：

获取并记录挖矿进程的文件路径：
ls -l /proc/$PID/exe

杀死挖矿进程：
kill -9 $PID

删除挖矿进程对应的文件，倘若不能删除，就需要用chattr命令处理

1.4 其他常见问题

1.4.1 清除木马后又100%

明明刚刚清理了挖矿木马，没过多久就又卷土重来？
明明已经Kill了进程，删除了木马文件，没过多久，CPU占用率又上来了。究其根本，还是因为清除得不够彻底。大部分都只是Kill掉挖矿进程和对应文件，却没有清理计划任务和守护进程。

一般建议先清除计划任务、启动项、守护进程，再清除挖矿进程和其他恶意进程。

1.4.2 CPU占用100%却看不到进程

为什么系统CPU占用率接近100%，却看不到是哪个进程导致的？
如所示，系统CPU占用率接近100%，却看不到是哪个进程导致的，这种情况一般是因为系统命令被木马篡改了，从而隐藏了木马进程的踪迹，让用户无法进行溯源分析。

通过执行如下命令即可复原：

rm -rf /usr/bin/top && mv /usr/bin/top.original /usr/bin/top

如果在/usr/bin目录下发现还要其他的*.original，都可以执行上述命令执行，此次受木马篡改的有top，ps，pstree三个命令

参考链接：https://cloud.tencent.com/developer/article/1834731?sharedUid=10313019&shareByChannel=link

标签：运维,1.3,清除,etc,chattr,木马,Linux,挖矿
From： https://www.cnblogs.com/jingzh/p/17067294.html