电脑中了挖矿*怎么办
另一方面原因是,为了在多台服务器上统一管理HTCondor任务提交系统,我将防火墙都关闭了,这里可以通过添加IP例外,使得其他服务器可以连接到该服务器上。至此,清楚挖矿进程告一段落,也学习到了很多linux运维的知识。
这里显式执行程序已被删除,这里单纯只是系统没有识别到的原因,并不是被真的删除。这里先别急直接用将进程删除掉,以免再次挂起。
有条件的可以将服务器中ssh登录都设置为rsa免密登录,这样可以避免绝大多数问题。一般黑客是通过尝试用户名和密码对服务器进行攻击,但是每台服务器中用户名都不同,所以很难攻击,但是root名称一般不会变,所以黑客一般是先攻击这个名称。
在上图中,我们可以看到挖矿服务在/etc/dns/mdcheck-的目录下。但是一通操作后,发现目录下是空的。甚至在/etc/dns/下也查询不到mdcheck-文件下,除非输入完整路径信息。
root都没权限进行操作。一通检索后才知,linux怕用户误删一些系统必要指令和文件进行的保护,可通过如下命令进行解除。
中了挖矿*的表现
这里需要分别用chattr对该目录下的文件逐一全名的进行解除。然后通过rm-rf对dns目录进行删除。最后再利用kill-9命令将挖矿进程删掉,再次重启之后,挖矿服务没有再次被启动。
#查到了如下两个命令可以一定程度上发现被隐藏的进程sysdig-ctopprocs_cpu#该命令可以输出cpu占用的排行,经测试可以显示出被隐藏的进程unhideproc#自助搜索隐藏进程,linux系统中一切皆文件,proc目录下保存的就是所有正在运行程序的进程ID,即PID
后来我查看了近期有哪些人尝试登陆过服务器,发现有很多类似maxwell等奇奇怪怪的名字出现,所以服务器上尽可能也别出现知名人士名字的账户。
这里前前后后删了多次挖矿进程,所以每次挖矿进程的可执行程序的名字和PID都不一样,不过名字都是由8位的16进制数字组成。可以看出这个挖矿进程是被一个mdcheck什么服务启动的。
#一方面是ssh远程登录没有禁用root的远程登录,此时需要在/etc/ssh/sshd_config中添加PermitRootLoginno#保存后,对ssh服务进行重启systemctlrestartsshd
怎么彻底清除挖矿*
通常的*只会在crontab中写入定时自启*,所以直接删掉即可,这次的*在linux系统中注入了服务,让人难以搜索到,尤其是对*进程和文件夹进行了隐藏操作,防不胜防。
进程被隐藏,浅浅的在网络上搜索一番后,了解到被隐藏有几个级别,可能是内核级的隐藏,也可能单纯是一些常用命令被替换,于是查询怎样才能让被隐藏的进程显现出来。htop是第三方指令,也显示不出来,所以应该是linux内核等位置做了手脚。
#知道这些后,我们可以用防火墙firewalld或iptables对这些IP进行封禁iptables-IINPUT-sIP-jDROPfirewall-cmd--permanent--add-rich-rule='rulefamily="ipv4"sourceaddress="IP"reject'#其中IP字段替换为真实的黑客IP
#挖矿*都会有定时的网络发送信息,所以可用如下命令查看在*运行期间,是否存在异常IP地址netstat-natp
但是重启电脑之后,被关闭的*服务又回来了,iptables也被第一时间删除。看来简单关闭挖矿服务是不行的,需要完整的删除。
评论列表