木马病毒清除 挖矿病毒清除 网页篡改修复 主机漏洞修复 安全基线检查

一、木马病毒清除

（一）及时隔离主机

在发现主机被植入木马后，在不影响业务正常运行的前提下，应该及时隔离受感染的主机。腾讯云主机可以通过设置安全组隔离主机。

（二）阻断异常网络通信

挖矿木马不仅会连接矿池，还有可能会连接黑客的C2服务器，接收并执行C2指令、投递其他恶意木马，所以需要及时进行网络阻断。检查主机防火墙当前生效的iptables规则中是否存在业务范围之外的可疑地址和端口，它们可能是挖矿木马的矿池或C2地址。从iptables规则中清除可疑地址和端口。阻断挖矿木马的网络通信。

（三）清理木马样本

查找异常进程

• 使用lsof定位perl Shellbot病毒进程。Shellbot病毒是perl编程，通过lsof /usr/bin/perl识别异常进程。

• 通过异常网络连接定位异常进程。执行“netstat -anplt”或“ss -antp”指令查看系统网络连接，是否存在异常网络连接，连接异常端口（61986、4041、3333、4444等端口）。

清除异常进程

• 根据pid确定系统服务。使用systemctl status 恶意进程PID。

• 停用服务。使用systemctl stop 服务名称。

• kill -9 恶意程序PID。

• 停用开机启动。使用systemctl disable 服务名称。

• 删除恶意程序。使用rm -f 恶意程序。

清除异常用户

• 查找SSH密钥文件。使用find / -name "authorized_keys"。

• 默认“bin”用户是不具备登录权限。使用cat /etc/passwd|grep bin。

• 异常文件“/usr/sbin/nologin”实际为bash文件。

二、挖矿病毒清除

（一）找出隐藏的挖矿进程

利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。

• 安装 sysdig。使用sudo apt install sysdig。

• 安装 unhide。使用sudo apt install unhide。

• 输出cpu占用的排行，可以显示出隐藏的进程。使用sudo sysdig -c topprocs_cpu。

• 搜索隐藏进程，proc目录下保存的是所有正在运行程序的进程ID，即PID。使用sudo unhide proc。

（二）关闭病毒启动服务

通过unhide proc发现的隐藏进程，利用systemctl status PID来检查systemd管理的服务或者进程状态，来看一下该病毒到底是如何被启动的。查看输出的CGroup段信息，可以看到一个后缀为.service的服务，该服务就是病毒的启动服务。

• 终止病毒启动服务。使用systemctl stop xxxxX.service。

• 终止挖矿服务的开机自启。使用systemctl disable xxxxX.service。

（三）杀掉挖矿进程

在关闭了挖矿病毒的启动服务之后，现在就可以将挖矿进程kill了。使用kill -9 PID。

（四）防止黑客再次入侵

查找异常IP

• 通过netstat -natp显示网络相关信息，查看是否存在异常IP。

• 将查到的异常IP直接在百度中输入就可以看到该IP的一些信息。

封禁异常IP

• 利用防火墙iptables对异常IP进行封禁。使用sudo iptables -I INPUT -s IP -j DROP。

• 检查是否已经成功添加。使用iptables -L INPUT -v -n。

• 默认情况下，通过iptables添加的规则在系统重启后会丢失。如果希望规则在重启后依然有效，需要将规则保存到配置文件中。可以使用iptables-persistent工具来实现。

  • 安装iptables-persistent。使用sudo apt-get install iptables-persistent。

  • 将规则保存到配置文件。使用sudo netfilter-persistent save。

  • 设置为开机自启。使用systemctl enable iptables。

  • 打开服务。使用systemctl start iptables。

查看是否有陌生公钥

• 使用cat ~/.ssh/authorized_keys。

• 如果有陌生公钥立即删掉。