CentOS 7系统如何进行挖矿病毒检测与分析?
- 内容介绍
- 相关推荐
本文共计1394个文字,预计阅读时间需要6分钟。
由于长时间工作中多次感染各种采矿病毒,我在这里整理了我遇到的病毒以及解决方案。采矿病毒感染后,最基本的一个特征就是CPU使用率瞬间飙升。此时,可以通过以下方式进行处理:
因为我在工作的时候被各种挖矿病毒搞过几次,所以在这里整理下我遇到的病毒以及大神们的解决方案。
服务器中挖矿病毒后,最基本的一个特征就是CPU使用率瞬间飙升,此时可以通过top命令进行查看,确认是否有异常进程,当然有一些挖矿病毒稍微高级一些,比如pamdicks,它的进程是隐藏的,通过unhide命令或者使用sysdig命令可以查看。
挖矿病毒的特点:
1、文件/定时任务删除失败-------------------文件只读属性保护
2、文件/定时任务删完又出现-----------------系统文件替换/下载进程残留
3、病毒进程刚刚删完又被拉起---------------恶意进程守护
4、主机严重卡顿但找不到挖矿进程-----------系统命令劫持
5、主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵
当服务器中挖矿病毒后,很有可能系统命令被黑客替换,导致执行某系统命令时,有可能执行被黑客注入到服务器的恶意程序,所以服务器上最好提前安装个busybox。
本文共计1394个文字,预计阅读时间需要6分钟。
由于长时间工作中多次感染各种采矿病毒,我在这里整理了我遇到的病毒以及解决方案。采矿病毒感染后,最基本的一个特征就是CPU使用率瞬间飙升。此时,可以通过以下方式进行处理:
因为我在工作的时候被各种挖矿病毒搞过几次,所以在这里整理下我遇到的病毒以及大神们的解决方案。
服务器中挖矿病毒后,最基本的一个特征就是CPU使用率瞬间飙升,此时可以通过top命令进行查看,确认是否有异常进程,当然有一些挖矿病毒稍微高级一些,比如pamdicks,它的进程是隐藏的,通过unhide命令或者使用sysdig命令可以查看。
挖矿病毒的特点:
1、文件/定时任务删除失败-------------------文件只读属性保护
2、文件/定时任务删完又出现-----------------系统文件替换/下载进程残留
3、病毒进程刚刚删完又被拉起---------------恶意进程守护
4、主机严重卡顿但找不到挖矿进程-----------系统命令劫持
5、主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵
当服务器中挖矿病毒后,很有可能系统命令被黑客替换,导致执行某系统命令时,有可能执行被黑客注入到服务器的恶意程序,所以服务器上最好提前安装个busybox。