记一次xmrig挖矿病毒排查日记

前言

一台运行了好久的服务器CPU使用率达到100%，脑海中第一个想法就是中病毒了，于是开始了我的杀毒之旅。

解决方案

登录服务器查异常进程

top -c

1

可以发现有个名为xmrig的进程CPU使用率98.7%

kill掉异常进程

经过top命令发现异常进程的pid，通过kill命令杀掉进程

kill -9 15866

1

删除危险文件或目录

经过top命令发现异常进程的执行目录，删除危险目录

rm -rf c3pool/

1

检测

可以使用top命令查看，我这里使用了shell脚本检测CPU、磁盘、内存使用率

#!/bin/bash

##############################################

#Filename: jiankong.sh

#Description: 监控cpu、磁盘、内存使用率

##############################################

logFile=/tmp/jiankong.log

#获取报警时间

now_time=date '+%F %T'

#获取cpu使用率

cpuUsage=top -b -n5 | fgrep "Cpu(s)" | tail -1 | awk -F'id,' '{split($1, vs, ","); v=vs[length(vs)]; sub(/\s+/, "", v);sub(/\s+/, "", v); printf "%d", 100-v;}'

#统计内存使用率

mem_used_persent=free -m | awk -F '[ :]+' 'NR==2{printf "%d", ($3)/$2*100}'

#获取磁盘使用率

data_name="/dev/vda1"

diskUsage=df -h | grep $data_name | awk -F '[ %]+' '{print $5}'

function check(){

echo -e "CPU使用率：${cpuUsage}%\n磁盘使用率：${diskUsage}%\n内存使用率：${mem_used_persent}%"

if [[ "$cpuUsage" > 80 ]] || [[ "$diskUsage" > 80 ]] || [[ "$mem_used_persent" > 80 ]];then

    echo "报警时间：${now_time}" > $logFile

	echo -e "CPU使用率：${cpuUsage}% --> 磁盘使用率：${diskUsage}% --> 内存使用率：${mem_used_persent}%" >> $logFile

fi

}

function main(){

check

}

main

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

结果：

root@iZ2zecnyl7dn3k4brxn52uZ ~# sh jiankong.sh

CPU使用率：1%

磁盘使用率：10%

内存使用率：49%

1

2

3

4

云平台监控：

优化建议

现在大部分企业用户与个人用户都选择了云计算，可以大大降低成本与简易化。但是云平台安全防护还是要自己做一些优化的，下面给大家一些建议。

个人用户的服务器用密码登录禁止root用户登录，设置普通用户并赋予sudo权限，除了账号密码登录之外，还可以选择密钥登录。

登录密码一定要设置复杂一些，推荐一个在线生成密码工具

企业用户一般都选择堡垒机，尽量避免服务器直接开放公网访问。

安全组策略尽量避免外所有IP开放重要端口，特别是数据库端口入MySQL:3306、Redis:6379等。