记一次xmrig挖矿病毒排查日记

2022-08-19 17:37:21 浏览数 (1)

前言

一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。

解决方案

登录服务器查异常进程

top -c

1

可以发现有个名为xmrig的进程CPU使用率98.7%

kill掉异常进程

经过top命令发现异常进程的pid,通过kill命令杀掉进程

kill -9 15866

1

删除危险文件或目录

经过top命令发现异常进程的执行目录,删除危险目录

rm -rf c3pool/

1

检测

可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用率

#!/bin/bash

##############################################

#Filename: jiankong.sh

#Description: 监控cpu、磁盘、内存使用率

##############################################

logFile=/tmp/jiankong.log

#获取报警时间

now_time=date ' %F %T'

#获取cpu使用率

cpuUsage=top -b -n5 | fgrep "Cpu(s)" | tail -1 | awk -F'id,' '{split($1, vs, ","); v=vs[length(vs)]; sub(/s /, "", v);sub(/s /, "", v); printf "%d", 100-v;}'

#统计内存使用率

mem_used_persent=free -m | awk -F '[ :] ' 'NR==2{printf "%d", ($3)/$2*100}'

#获取磁盘使用率

data_name="/dev/vda1"

diskUsage=df -h | grep $data_name | awk -F '[ %] ' '{print $5}'

function check(){

代码语言:txt复制
echo -e "CPU使用率:${cpuUsage}%n磁盘使用率:${diskUsage}%n内存使用率:${mem_used_persent}%"
代码语言:txt复制
if [[ "$cpuUsage" > 80 ]] || [[ "$diskUsage" > 80 ]] || [[ "$mem_used_persent" > 80 ]];then
代码语言:txt复制
    echo "报警时间:${now_time}" > $logFile
代码语言:txt复制
	echo -e "CPU使用率:${cpuUsage}% --> 磁盘使用率:${diskUsage}% --> 内存使用率:${mem_used_persent}%" >> $logFile
代码语言:txt复制
fi

}

function main(){

代码语言:txt复制
check

}

main

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

结果:

root@iZ2zecnyl7dn3k4brxn52uZ ~# sh jiankong.sh

CPU使用率:1%

磁盘使用率:10%

内存使用率:49%

1

2

3

4

云平台监控:

优化建议

现在大部分企业用户与个人用户都选择了云计算,可以大大降低成本与简易化。但是云平台安全防护还是要自己做一些优化的,下面给大家一些建议。

个人用户的服务器用密码登录禁止root用户登录,设置普通用户并赋予sudo权限,除了账号密码登录之外,还可以选择密钥登录。

登录密码一定要设置复杂一些,推荐一个在线生成密码工具

企业用户一般都选择堡垒机,尽量避免服务器直接开放公网访问。

安全组策略尽量避免外所有IP开放重要端口,特别是数据库端口入MySQL:3306、Redis:6379等。

0 人点赞