Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114

已于 2025-01-14 17:29:04 修改
阅读量1k 收藏 14
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 技术干货分享 电脑生活 文章标签: 服务器 linux php
于 2025-01-14 11:12:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Narutolxy/article/details/145134468

Linux 服务器挖矿木马防护实战:快速切断、清理与加固

引言

挖矿木马作为一种常见的恶意软件,对服务器资源和安全构成严重威胁。据安全机构统计,2023 年全球约 45%的 Linux 服务器遭受过挖矿木马攻击,平均每台被感染服务器每月造成 300-500 美元的额外电费支出。

本文将围绕三个核心环节,详细讲解应对挖矿木马的完整防护方案:

  1. 快速响应:第一时间切断攻击路径
  2. 全面清理:系统性清除感染源
  3. 系统加固:建立长效防护机制

在这里插入图片描述

一、快速响应:切断攻击路径

1.1 网络层面阻断

💡 首要任务是切断攻击者的通信渠道,防止进一步的数据泄露和控制指令。

# 1. 识别可疑连接(常见矿池端口)
netstat -antp | grep -E ":(3333|14444|14433|3357)"

# 2. 阻断攻击IP(注意保存规则防止重启失效)
iptables -A INPUT -s <攻击IP> -j DROP
iptables -A OUTPUT -d <攻击IP> -j DROP
iptables-save > /etc/iptables/rules.v4

1.2 用户权限隔离

🔑 清理受感染账户的访问权限,防止攻击者重新登录。

# 1. 修改用户密码
passwd <用户名>

# 2. 清理SSH密钥(为什么要这样做?防止攻击者留下后门)
find / -name "authorized_keys" -exec rm -f {
   
   } \;

# 3. 限制SSH访问(仅允许特定IP)
echo "sshd: 192.168.1.0/24" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

1.3 初步进程清理

⚡ 快速终止可疑进程,为后续深入清理争取时间。

# 自动化清理脚本(初步应急)
cat > /tmp/quick_clean.sh <<'EOF'
#!/bin/bash
# 清理常见挖矿进程
ps aux | grep -i "kswapd0\|kdevtmpfsi\|cryptonight\|minerd" | \
    awk '{print $2}' | xargs -I {} kill -9 {}
# 清理可疑网络连接
netstat -antp | grep -E ":(3333|14444|14433|3357)" | \
    awk '{print $7}' | cut -d'/' -f1 | xargs -I {} kill -9 {}
EOF
bash /tmp/quick_clean.sh

二、全面清理:系统性清除感染源

2.1 深度进程清理

🔍 通过多维度分析,确保不遗漏任何可疑进程。

# 1. CPU异常进程排查
ps aux --sort=-%cpu | head -10

# 2. 可疑进程溯源(进阶技巧)
for pid in $(ps aux | awk '$3>80.0{print $2}'); do
    echo "=== PID $pid ==="
    ls -l /proc/$pid/exe
    ls -l /proc/$pid/cwd
    strings /proc/$pid/cmdline
done

2.2 定时任务清理

⏰ 攻击者常用定时任务实现持久化,必须彻底清理。

# 综合清理脚本
cat > /usr/local/bin/cron_clean.sh <<'EOF'
#!/bin/bash
# 1. 清理用户定时任务
for user in $(cut -f1 -d: /etc/passwd); do
    crontab -u $user -l 2>/dev/null | grep -v "wget\|curl" | crontab -u $user -
done

# 2. 检查系统定时任务
for cronfile in /etc/cron.d/* /etc/crontab /var/spool/cron/*; do
    if [ -f "$cronfile" ]; then
        cp "$cronfile" "$cronfile.bak"
        sed -i '/wget\|curl/d' "$cronfile"
    fi
done
EOF
chmod +x /usr/local/bin/cron_clean.sh

三、多服务器场景应急处理

3.1 通用应急脚本设计

🔄 面对多台服务器同时被攻击的情况,需要自动化工具提高响应效率。
malware_cleanup.sh

#!/bin/bash
# 普通用户清理木马脚本 (最终优化版)
# 功能:彻底清理恶意任务、文件和配置

set -euo pipefail

LOGFILE="$HOME/malware_cleanup_$(date +%Y%m%d%H%M%S).log"

log() {
   
   
  echo "[INFO] $1" | tee -a "$LOGFILE"
}
最低0.47元/天 解锁文章

200万优质内容无限畅学
【速通RAG实战:索引】5.RAG分块策略Embedding技术
RickyIT的专栏
05-08 1836
分块策略:根据文档类型选择策略(固定分块为基线,语义分块为最优)。嵌入模型:参考 MTEB 榜单,结合业务场景测试模型性能。代码仓库Gitee项目。
LangChain实战:使用 RAG 工作流程进行高效信息检索 Efficient Information Retrieval with RAG Workflow
AI天才研究院
10-22 2382
检索增强生成 (RAG) 是一种预训练的大型语言模型 (LLM) 和您自己的数据配合使用来生成响应的模式。seq2seq它结合了预训练密集检索和序列到序列模型的强大功能。RAG 模型检索文档,将它们传递给 seq2seq 模型,然后边缘化以生成输出。article在我向您介绍 RAG 理论部分的文章的继续部分,我在这里向您介绍 RAG 在代码中的实现。让我们开始使用 Langchain 和 Hugging Face 来实现 RAG!
Linux挖矿程序清除
延成的博客
09-01 1629
【代码】Linux挖矿程序清除。
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux服务器挖矿病毒彻底清除防护实操指南
boydoy1987的专栏
08-07 2480
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
警惕:能够删除杀毒软件的新型Linux挖矿***来袭
weixin_34005042的博客
11-28 321
如今,网络犯罪分子用来获取非法收入的最常见手段之一,就是在不经过设备所有者同意的情况下使用CPU或GPU资源来进行隐蔽的加密货币挖掘操作。这不,来自俄罗斯网络安全公司Doctor Web的研究人员在近日就发现了一款旨在感染Linux设备的加密货币挖矿恶意软件。值得注意的是,这款恶意软件不仅还会感染处于受感染设备同一网络下的其他联网设备,而且还会删除正在运行的杀毒软件。该恶...
linux挖矿病毒清理
yb890102的博客
01-05 1840
网络安全,挖矿病毒清流,linux中毒
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 3371
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
西门子官方范例博图v16资料:深入解析定长切断伺服控制实战经验分享
最新发布
05-04
内容概要:本文详细介绍了西门子S7-1500 PLCV90伺服在定长切断应用中的具体实现方法和技术要点。首先,文章展示了如何利用TIA Portal V16进行硬件配置和参数设置,包括轴配置、报文配置以及关键控制逻辑的编写。...
全面解读Spring Cloud Zuul:从配置到优化的实战指南
热门推荐
张彦峰的博客
02-14 168万+
在微服务架构中,API网关作为核心组件之一,承担着请求路由、负载均衡、安全认证等重要功能。Spring Cloud Zuul作为一款功能强大的API网关解决方案,得到了广泛应用。本文将深入探讨Spring Cloud Zuul的各项功能,从基础配置到工作原理,再到多层负载和应用优化,全面解析其在实际应用中的最佳实践实用技巧,为开发者提供一站式指导,助力其打造高性能、高可用的微服务架构。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 4438
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
网络安全领域___专研者.
08-18 1602
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
linux挖矿病毒清除 .ssh3 /tmp/.
xuejianxinokok的专栏
10-18 4554
症状: cpu 飙高,如果有java 程序的话会发现程序每隔30分钟重新启动一次 用top命令查看 发现 /tmp/. 这个程序非常消耗cpu 病毒源码 病毒定时任务 清除过程: 1. 先停止定时任务 service crond stop,并杀死正在运行的进程 kill -9 66953 2. 删除运行脚本 cd /tmp -- 删除运行脚本 lsattr ....
Linux服务器防护+对抗挖矿病毒全流程探索
weixin_44197439的博客
09-09 1710
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7642
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
Linux服务器挖矿病毒 二
清风弄影
10-23 3070
使用top命令可以看见CPU 100%,但是进程中居然cpu占用率都很低。 使用ps -aux --sort=-pcpu|head -10 这现在露出了原形。发现一个占用几百的进程 Kmmcd. kill -9 33102 把这个干掉,cpu占用一下子就小了。 打开crontab文件,其中最底下添加了一条记录,定时启动usr/lib/libiacpkmn.so.3.,删除! 用这个文件在百度中一...
Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
无限迭代中......
04-16 5299
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate、networkservice都在/etc/目录下 到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh...
应急响应——Linux挖矿木马处置
记录并分享学习安全的知识点..
12-01 1057
挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。
linux服务器挖矿病毒处理方案
liu854046222的专栏
10-22 4456
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。
掌握技巧:轻松切断图表源数据的联系
资源摘要信息:"在探讨如何在电子表格程序中,如微软的Excel,有效地管理数据和图表时,本文件的标题指出了一个特定的操作技巧——切断图表源数据的联系。这个操作是图表编辑和数据管理中的一个重要环节,允许用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Narutolxy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值