美国服务器Linux系统常见病毒的解决方法:1、Start Miner病毒,会在美国服务器Linux系统上创建多个包含2start.jpg字符串的恶意定时任务,解决方法是结束挖矿进程x86_,删除所有带有2start.jpg字符串的定时任务,清除所有带有2start.jpg字符串的wget进程;2、Rainbow Miner病毒,采用多种方式进行隐藏及持久化攻击服务器,解决方法是下载busy box,用busy box top定位挖矿进程kthreadds及母体进程pdflushs,并进行清除,删除/usr/bin/kthreadds、/etc/init.d/pdflushs文件和/etc/rc*.d/下的启动项,删除/lib64/下的病毒伪装文件和清除python cron.py进程。
具体内容如下:
Start Miner病毒
Start Miner病毒通过SSH进行传播,其主要特点是会在美国服务器Linux系统上创建多个包含2start.jpg字符串的恶意定时任务。Start Miner病毒通过SSH传播新型的Linux挖矿木马,该木马通过在美国服务器上创建多个定时任务、多个路径释放功能模块的方式进行驻留,并存在SSH暴力破解模块,下载并运行开源挖矿程序。
中毒现象:美国服务器定时任务里有包含2start.jpg的字符串;美国服务器/tmp/目录下存在名为x86_的病毒文件;美国服务器/etc/cron.d目录下出现多个伪装的定时任务文件:apache、nginx、root。
解决方案:美国服务器结束挖矿进程x86_;删除美国服务器所有带有2start.jpg字符串的定时任务;清除美国服务器所有带有2start.jpg字符串的wget进程。
Rainbow Miner病毒
Rainbow Miner病毒最大的特点是会隐藏挖矿进程kthreadds,美国服务器管理人员会发现美国服务器CPU占用率高,却没有发现可疑进程,是有因为Rainbow Miner病毒采用了多种方式进行隐藏及持久化攻击。
中毒现象:隐藏挖矿进程/usr/bin/kthreadds,美国服务器CPU占用率高却看不到进程;美国服务器会访问Rainbow66.f3322.net恶意域名;会创建SSH免密登录公钥,实现持久化攻击;美国服务器存在cron.py进程。
解决方案:美国服务器下载busy box,使用busy box top定位到挖矿进程kthreadds及母体进程pdflushs,并进行清除;美国服务器删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的启动项;美国服务器删除/lib64/下的病毒伪装文件;清除美国服务费去python cron.py进程。
