挖矿病毒分析（centos7）

因为我在工作中多次被各种挖矿病毒中过，这里是我遇到的病毒和大神们的解决方法。

服务器挖病毒后，最基本的特点就是CPU占用率瞬间飙升。这时候可以使用top命令查看是否有异常进程。当然，一些挖矿病毒稍微高级一些。 ，比如它的进程是隐藏的，可以通过命令或使用命令查看。

挖矿病毒的特点：

1、文件/定时任务删除失败——-文件受只读属性保护

2、文件/定时任务被删除又出现—–系统文件替换/下载过程残留

3、病毒进程刚刚被删除然后拉起来—————恶意进程守护进程

4、主机严重卡死，但是找不到挖矿进程———-系统命令被劫持

5、主机清理一段时间后出现病毒———ssh&漏洞再次入侵

当病毒在服务器被挖掘时，很可能系统命令会被黑客替换掉，这样当系统命令被执行时，就有可能执行被服务器注入的恶意代码黑客。程序，所以最好提前在服务器上安装一个。

1、

比较有名的挖矿蠕虫，攻击方式是通过redis感染服务器，如果redis端口默认6379暴露在公网上，并且没有设置客户端连接密码认证，很容易被感染。这种病毒被分为不同的级别。幸运的是，我遇到的比较简单。解决方法如下

(1）先过顶。

(2）删除，可能文件是只读的，不能删除，需要通过文件名查看文件的属性，一般属性是-a或者-i，然后执行-a /-i 更改文件属性后可以删除文件名

(3）杀死相关进程

2、rshim

一种挖矿病毒，常见的是以root用户启动redis服务，redis使用默认端口，导致6379端口被攻击。解决方案类似。查找文件和进程时，发现用户隐藏执行，在主目录下。还有一个额外的 hilde 目录，它为免密码登录创建一个公钥。需要删除整个hilde目录，然后执行-r hilde删除用户

图不全，随便看看。

3、[扫描]

不清楚它是什么病毒。网上说也被redis攻击了。由于此过程，第二个 CPU 已满。解决方法与上述类似。也是先检查路径，再删除文件，再杀掉进程。通过查看它的文件，我们可以看到如下图所示的代码。

通过其脚本查看redis-cli -h….相关代码，查看进程，发现有redis-cli进程。具体是什么功能，这里没研究，只知道需要删除脚本，杀死进程。

然后在查看磁盘空间的时候，发现根目录的磁盘使用不正常。推测应该是脚本恶意生成的隐藏文件。我去根目录用ls -a查看，发现还有很多文件，如下图。

它们都是 .r.* 格式的文件。查了一下，发现这个类型的文件有40000多个。我果断删除了它们。删除这些文件后，我检查了磁盘使用情况，正常。

4、

这是我之前工作中遇到的挖矿木马，第一次遇到。作为证据

是的，可以看出这个木马特别凶猛。 8核CPU瞬间爆满，进程不断启动，服务器不断重启，运行起来非常吃力。解决方法是删除原文件，创建一个空头文件，然后用系统锁定不被修改。命令如下。

rm -rf /usr/bin/ /bin/

触摸 /usr/bin/ /bin/

+i /usr/bin/ /bin/

然后杀死进程就可以了。

这次服务器被黑了，植入了一个密钥文件，让入侵者不用密码就可以登录服务器。我在redis中看到了一个很奇怪的key，它的值表示一个定时任务，就是通过curl下载某个sh脚本并执行。在网上看到一个博主，总结的很好。其原因如下。

1.redis没有采取任何安全措施，直接暴露在公网，任何redis客户端都可以直接连接。

2.被恶意连接后，在他的机器上生成ssh key，然后设置为redis，最后使用redis命令dump默认的RDB。 rdb文件修改为，然后将文件的目录设置为/root/.ssh。

3.这样很危险，攻击者可以直接ssh到你的linux主机，然后，root账号，为所欲为。被开采的情况并不少见。

建议：Redis一定要设置强密码，更改端口，尽量不要对外开放端口。

不要以为外网redis端口被阻塞就没有问题。只要内网有机器感染了病毒，就可以继续感染。