挖礦病毒攻防

一.rootkit病毒介紹
這類挖礦木馬是一種很深的隱藏在作業系統中執行惡意或令人討厭的程式，正如病毒名字所述，這個木馬病毒就是用來挖礦的，通過一系列指令碼來控制系統的cpu做一些計算，同時將計算結果發往外界。一般的病毒清除方法對這個挖礦程式並不管用，因為這個程式超級頑固，你清除了一個，又會產生新的，春風吹又生。
二.被木馬感染後的系統表現
（1）最直接表現是系統頻寬被打滿。網絡卡流量跑滿。
（2）通過top看系統cpu也被打滿。記憶體佔用還好。這就是被挖礦了。我們的cpu被控制了。

（3）ps命令，ls命令執行無輸出。這個時候我們需要清醒的意識到，這些系統命令已經病被病毒程式替換了。我們的系統已經變得不可靠了，任何命令的執行都有可能進一步拉起病毒。

/root/chattr -i -a /bin/ps && rm /bin/ps -f    #刪除這些可能被感染的命令，比如ps，ls,netstat，lsof，top等。可以通過ls -lh /bin/ps 檢視這些命令的大小和正常程式是否一致

接下來可以找一個相同作業系統的的ps，ls, netstat，lsof命令，將這些命令複製到被感染的系統中，臨時使用。
（2）其次我們需要對系統做一個全面檢查

a.檢查系統日誌
檢查系統錯誤登陸日誌，統計IP重試次數（last命令是檢視系統登陸日誌，比如系統被reboot或登陸情況）
注：此時last命令也有可能變得不可靠，需要檢查

b.檢查系統使用者

檢視是否有異常的系統使用者
[[email protected] ~]# cat /etc/passwd

檢視是否產生了新使用者，UID和GID為0的使用者
[[email protected] ~]# grep “0” /etc/passwd

檢視passwd的修改時間，判斷是否在不知的情況下新增使用者
[[email protected] ~]# ls -l /etc/passwd

檢視是否存在特權使用者
[[email protected] ~]# awk -F: ‘3==0 {print$\text{3==0 {print}$1}’ /etc/passwd

檢視是否存在空口令帳戶
[[email protected] ~]# awk -F: ‘length(2)==0 {print$\text{2)==0 {print}$1}’ /etc/shadow

c.檢查異常程序

top  #仔細檢查異常程序pid
ls -l /proc/pid/exe 檢視異常程序命令所在地

kill -9 970  #殺掉這個程序之後發現根本不管用，春風吹又生，又從/usr/bin/轉移到/bin，再又轉移到/tmp.這個時候必須注意倒病毒後臺有監控程序，程序死掉了之後，立馬又重新起來一個新的程序。

3、更多異常檔案的發現

（1）檢視定時任務檔案crontab -l 並沒有發現什麼一次，檢視/etc/crontab發現異常指令碼gcc.sh。

（2）然後檢視系統啟動檔案rc.local然後進入/etc/init.d目錄檢視，發現比較奇怪的指令碼檔案DbSecuritySpt、selinux。

第一個檔案可以看出他就是開機啟動那個異常檔案的，第二個應該和登入有關，具體我還不是很清楚，反正肯定是有問題的。

既然和登入有關，那就找和ssh相關的，找到了下面的一個檔案，是隱藏檔案，這個也是木馬檔案，我們先記錄下來，這樣程式名字都和我們的服務名字很相近，就是為了迷惑我們，他們的大小都是1.2M，他們有可能是一個檔案。

我有看了一下木馬喜歡出現的目錄/tmp，也發現了異常檔案，從名字上感覺好像是監控木馬程式的。

4.快速清理病毒木馬
假設*的名字是nshbsjdy，如果top看不到，可以在/etc/init.d目錄下面檢視

（1）首先鎖定三個目錄，不能讓新*檔案產生

chmod 000 /usr/bin/nshbsjdy
chattr +i /usr/bin
chattr +i /bin
chattr +i /tmp

（2）刪除定時任務及檔案以及開機啟動檔案

註釋/etc/crontab裡的gcc.sh指令碼  （監聽程式死掉後重新啟動的）
刪掉對應的lib.so檔案

刪除定時任務

rm -f /etc/init.d/nshbsjdy （開機自啟動的）
rm -f /etc/rc#.d/***連線檔案掉***程序

killall -9 nshbsjdy

（3）清理*程序

chattr -i /usr/bin
rm -f /usr/bin/nshbsjdy
rm -rf /usr/bin/dpkgd (ps netstat lsof ss) 
rm -rf /usr/bin/bsd-port #木馬程式 
rm -f /usr/bin/.sshd #木馬後門 
rm -f /tmp/gates.lod 
rm -f /tmp/moni.lod 
rm -f /etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程式) 
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt 
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt 
rm -f /etc/rc.d/init.d/selinux(預設是啟動/usr/bin/bsd-port/getty) 
rm -f /etc/rc.d/rc1.d/S99selinux 
rm -f /etc/rc.d/rc2.d/S99selinux 
rm -f /etc/rc.d/rc3.d/S99selinux 
rm -f /etc/rc.d/rc4.d/S99selinux 
rm -f /etc/rc.d/rc5.d/S99selinux

至此發現系統的cpu和頻寬均降下來了。應該是恢復正常了。

我這是個人使用linux，並不是生產環境。同時對安全組加以限制了。到這裡是可以繼續使用了。如果是生產環境，強烈建議重灌系統。防止潛在的危險發生，對生產環境破壞。

5.防止系統入侵的一些個人建議
（1）從以往碰到的例項來分析，密碼太簡單是一個錯
使用者名稱預設，密碼太簡單是最容易被入侵的物件，所以切忌不要使用太過於簡單的密碼， 這種密碼在掃描的軟體裡是通用的，所以很容易被別人掃描出來的。

（2）不要使用預設的遠端埠，避免被掃描到
掃描的人都是根據埠掃描，然後再進行密碼掃描，預設的埠往往就是掃描器的物件，他們掃描一個大的IP 段，哪些開放22埠且認為是ssh服務的linux系統，所以才會猜這機器的密碼。更改遠端埠也是安全的一個措施！

（3）使用一些安全策略進行保護系統開放的埠
使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow進行白名單設定
可以對/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等使用者資訊檔案進行鎖定（chattr +ai）

（4）禁ping設定

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all