導語
經常有用戶報障系統被植入惡意程式,如挖礦軟體、ddos攻擊病毒、syn映射攻擊病毒等,可以按照以下流程為用戶排查入侵病毒型別:
一、定位病毒行程
對于用戶反饋云主機性能卡頓,CPU和記憶體占用較高的情況:
執行TOP命令,查看占用CPU較高的例外行程,一般多為80%以上,有個別病毒占用CPU可能不高,但是從command名稱明顯不是系統行程或用戶行程,如TSM,Lixsyn,ynlyvtpxia等,
如圖所示:
注意運行例外行程的用戶,大部分為root,也有可能為其他應用用戶,一般為可以登錄系統的用戶,病毒破解用戶登錄密碼后使用該用戶登錄系統,根據入侵的用戶的權限等將病毒程式上傳到不同目錄,此類病毒一般具有防止被洗掉和行程自動啟動的功能,
即無法從目錄中洗掉,洗掉后還會自動恢復,使用Kill -9命令清理行程后片刻會再次自動啟動該行程,
上圖紅框中的即為病毒程式,雖然占用CPU和出網帶寬不高,但是仍然具有防止洗掉和自動啟動的特征,
找到行程后記錄PID行程號,后續定位病毒程式未知會用到,
對于用戶反饋連接云主機卡頓,但CPU和記憶體占用不高的情況,可能是云主機出網帶寬跑滿導致,此時ping云主機公網IP會出現大量丟包,
通過VNC連接云主機,使用iftop命令可以定位到占用帶寬較高的行程(iftop命令使用教程可參考檔案《Linux流量監控工具 - iftop (最全面的iftop教程)》:
https://developer.jdcloud.com/article/1729),一般多為同一埠有大量外部公網IP的資料進出,此種現象也多為病毒或惡意攻擊導致,
使用iftop -P定位占用流量較高的埠,再使用lsof -i:埠號命令查看占用埠的行程號并記錄,
二、定位病毒程式位置
按照第一步定位的病毒行程號定位運行的病毒程式路徑,命令如下:
ll /proc/行程號
linux系統對于每個運行的行程會在/proc目錄下建立以行程號命名的臨時目錄,該目錄記錄了行程的相關資訊,其中exe專案即為行程對應的程式路徑,如圖所示:
病毒檔案被上傳到了/usr/bin目錄下,顯然病毒獲取了root權限,有時也會放置在/tmp目錄下,因病毒獲得的不同用戶權限而異,進入檔案所在路徑,大多數病毒檔案洗掉后還會再次出現,無法徹底清除,
這也是我們一般建議用戶中毒后重置系統的原因,將病毒檔案或者病毒檔案所在的由病毒創建的目錄生成tar包,然后使用lrzsz工具下載至本地,
單個檔案之所以打tar包是避免下載至本地后防止被殺毒軟體洗掉,之后上傳至病毒分析網站后如果不是tar包格式有時也會無法分析出結果,
病毒分析網站有很多,常用的有:
https://x.threatbook.cn/
http://www.virustotal.com
http://r.virscan.org
以https://x.threatbook.cn/為例,打開網頁后,點擊下圖紅框的上傳檔案,選擇病毒tar包上傳,
等待檔案上傳完成后,點擊下面紅框中的掃描檔案,進入分析頁面,網站會使用不同的安全軟體分析病毒并給出分析結果,
有些能檢測出是病毒,有些檢測不是病毒,有一款以上的檔案報毒即可確認是病毒,
如圖所示,掃描出病毒是DDoS攻擊病毒 ,
確認病毒型別后,可以嘗試參考檔案《Linux系統對DDoS木馬病毒排查及清除》(附產品)進行清除,
如果無法徹底清除,建議備份好系統中的個人資料后使用私有鏡像或官方鏡像重置系統,
通常絕大多數安全入侵都是通過完全開放的埠策略以及應用漏洞實作,因此使用默認安全組開放所有埠的安全風險極高,
特別提示:
針對linux云主機,建議您系結linux開放22埠安全組,移除默認安全組,單獨開放需要的埠,操作方法請參考下列檔案:
安全組概述(https://docs.jdcloud.com/cn/virtual-machines/security-group-overview)
安全組系結云主機(https://docs.jdcloud.com/cn/virtual-machines/associate-security-group)
安全組解綁云主機(https://docs.jdcloud.com/cn/virtual-machines/disassociate-security-group)
配置安全組入站規則(https://docs.jdcloud.com/cn/virtual-machines/configurate-inbound-rules)
配置安全組出站規則(https://docs.jdcloud.com/cn/virtual-machines/configurate-outbound-rules)
修改ssh協議埠(https://docs.jdcloud.com/cn/virtual-machines/ssh-service-change-port)
使用復雜密碼并定期更換
同時定期對您的云主機制作私有鏡像(https://docs.jdcloud.com/cn/virtual-machines/create-private-image)和云硬碟快照(https://docs.jdcloud.com/cn/cloud-disk-service/create-clouddisk-snapshot),備份您的系統配置和資料,以便在出現意外時可以使用私有鏡像重置您的系統,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/508031.html
標籤:Linux
上一篇:MicrosoftGraph中缺少UsersPermissionToUserConsentToAppEnabled是否有任何解決方法?
