Linux服务器挖矿病毒处理

情况说明：挖矿进程被隐藏（CPU占用50%，htop/top却看不到异常进程），结束挖矿进程后马上又会运行起来（crontab -l查看发现没有定时任务）。

注：由于此博客是在处理完之后所写，因此相应的图片没有截取，但是如果上述情况一致的话，按照下述流程操作应该会对你有所帮助。

1.中毒表现

服务器是24核的，前12核的CPU占用一直处于100%，即使重启服务器，马上就会占用12核的CPU，并且系统内存占用也很大。中毒表现有如下几点：

• 在没有使用软件的情况下，CPU使用率很高（使用top或者htop查看系统内存占用情况）。
• 通过netstat -natp发现有异常IP地址。
• 发热极其严重，风扇狂转。
• 服务器莫名其妙突然卡顿。

2.解决办法

2.1 断网并修改root密码

在发现中了挖矿病毒后，一定要首先断网并修改root密码！！！

2.2 找出隐藏的挖矿进程

这里利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。

# 安装 sysdig
sudo apt install sysdig
# 安装 unhide
sudo apt install unhide

# 输出cpu占用的排行，可以显示出隐藏的进程
sudo sysdig -c topprocs_cpu

# 搜索隐藏进程，proc目录下保存的是所有正在运行程序的进程ID，即PID
sudo unhide proc

这时就找到了挖矿病毒的PID，但是直接kill -9 PID杀死进程后就会发现不到1分钟的时间，就会有一个新的挖矿进程出现，因此这个挖矿进程肯定是被什么服务所启动的，接下来我们便需要找到这个服务并将其关闭。

2.3 关闭病毒启动服务

通过上面unhide proc发现的隐藏进程，利用systemctl status PID来检查 systemd 管理的服务或者进程状态，来看一下该病毒到底是如何被启动的。

systemctl status 3084  # 3084为病毒的PID

查看输出的CGroup段信息，可以看到一个后缀为.service的服务，该服务就是病毒的启动服务。

# 终止病毒启动服务
systemctl stop xxxxX.service
# 终止挖矿服务的开机自启
systemctl disable xxxxX.service 

2.4 杀掉挖矿进程

在关闭了挖矿病毒的启动服务之后，现在就可以将挖矿进程kill了。kill之后，CPU恢复正常，并且也没有了隐藏进程。

kill -9 PID

3. 防止黑客再次入侵

3.1 查找异常IP

# 通过 netstat -natp 显示网络相关信息，查看是否存在异常IP
netstat -natp

将查到的异常IP直接在百度中输入就可以看到该IP的一些信息。

3.2 封禁异常IP

利用防火墙 iptables 对异常IP进行封禁。

# 对异常IP封禁
sudo iptables -I INPUT -s IP -j DROP
# 检查是否已经成功添加
iptables -L INPUT -v -n

默认情况下，通过 iptables 添加的规则在系统重启后会丢失。如果希望规则在重启后依然有效，需要将规则保存到配置文件中。可以使用 iptables-persistent 工具来实现。

# 安装iptables-persistent
sudo apt-get install iptables-persistent
# 将规则保存到配置文件
sudo netfilter-persistent save
# 设置为开机自启
systemctl enable iptables
# 打开服务
systemctl start iptables

3.3 查看是否有陌生公钥

cat ~/.ssh/authorized_keys

如果有陌生公钥立即删掉。

补充知识

在刚开始查看了网上很多的资料，试着用了这个命令ps -ef | grep kdevtmpfsi，来看自己服务器是不是中了 kdevtmpfsi 病毒，然后发现每次只显示一个有关 kdevtmpfsi 的进程，而且每次都会变化。我竟然认为是病毒太强了，每次都会变化进程ID，真被自己蠢哭了😭😭😭。后来知道每次的那一行输出是grep kdevtmpfsi命令本身的进程，由于grep正在查找字符串 kdevtmpfsi，它自身的进程也匹配这个查找条件，所以它出现在输出中。

ps -ef | grep kdevtmpfsi命令解释：列出所有正在运行的进程，并在这些进程中查找名称或命令行中包含 kdevtmpfsi 的进程，显示这些进程的信息。

• ps 是一个显示当前运行进程的命令。
• -e 选项显示所有进程。
• -f 选项显示完整格式的输出，包括进程的 PID、父进程的 PID、启动时间、TTY、累计 CPU 时间、命令等。
• 管道符号 | 用于将前一个命令的输出作为下一个命令的输入。
• grep 是一个搜索工具，用于在输入中查找符合特定模式的行。
• kdevtmpfsi 是 grep 要查找的模式。在这种情况下，它是在所有进程输出中查找包含 kdevtmpfsi 的行。

参考

• 记录一次服务器被挖矿经历…
• 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程？本文带你彻底杀毒！
• Linux 病毒扫描工具：ClamAV 配置使用教程

😃😃😃