导语

经常有用户报障系统被植入恶意程序,如挖矿软件、ddos攻击病毒、syn映射攻击病毒等,可以按照以下流程为用户排查入侵病毒类型:

一、定位病毒进程

对于用户反馈云主机性能卡顿,CPU和内存占用较高的情况:

执行TOP命令,查看占用CPU较高的异常进程,一般多为80%以上,有个别病毒占用CPU可能不高,但是从command名称明显不是系统进程或用户进程,如TSM,Lixsyn,ynlyvtpxia等。

如图所示:

注意运行异常进程的用户,大部分为root,也有可能为其他应用用户,一般为可以登录系统的用户,病毒破解用户登录密码后使用该用户登录系统,根据入侵的用户的权限等将病毒程序上传到不同目录,此类病毒一般具有防止被删除和进程自动启动的功能。

即无法从目录中删除,删除后还会自动恢复。使用Kill -9命令清理进程后片刻会再次自动启动该进程。

上图红框中的即为病毒程序,虽然占用CPU和出网带宽不高,但是仍然具有防止删除和自动启动的特征。

找到进程后记录PID进程号,后续定位病毒程序未知会用到。

对于用户反馈连接云主机卡顿,但CPU和内存占用不高的情况,可能是云主机出网带宽跑满导致。此时ping云主机公网IP会出现大量丢包。

通过VNC连接云主机,使用iftop命令可以定位到占用带宽较高的进程(iftop命令使用教程可参考文档《Linux流量监控工具 - iftop (最全面的iftop教程)》:
https://developer.jdcloud.com/article/1729),一般多为同一端口有大量外部公网IP的数据进出,此种现象也多为病毒或恶意攻击导致。

使用iftop -P定位占用流量较高的端口,再使用lsof -i:端口号命令查看占用端口的进程号并记录。

二、定位病毒程序位置

按照第一步定位的病毒进程号定位运行的病毒程序路径,命令如下:

ll /proc/进程号

linux系统对于每个运行的进程会在/proc目录下建立以进程号命名的临时目录,该目录记录了进程的相关信息,其中exe项目即为进程对应的程序路径,如图所示:

病毒文件被上传到了/usr/bin目录下,显然病毒获取了root权限。有时也会放置在/tmp目录下,因病毒获得的不同用户权限而异。进入文件所在路径,大多数病毒文件删除后还会再次出现,无法彻底清除。

这也是我们一般建议用户中毒后重置系统的原因。将病毒文件或者病毒文件所在的由病毒创建的目录生成tar包,然后使用lrzsz工具下载至本地。

单个文件之所以打tar包是避免下载至本地后防止被杀毒软件删除,之后上传至病毒分析网站后如果不是tar包格式有时也会无法分析出结果。

病毒分析网站有很多,常用的有:
https://x.threatbook.cn/
http://www.virustotal.com
http://r.virscan.org

以https://x.threatbook.cn/为例,打开网页后,点击下图红框的上传文件,选择病毒tar包上传。

等待文件上传完成后,点击下面红框中的扫描文件,进入分析页面,网站会使用不同的安全软件分析病毒并给出分析结果。

有些能检测出是病毒,有些检测不是病毒,有一款以上的文件报毒即可确认是病毒。

如图所示,扫描出病毒是DDoS攻击病毒 。

确认病毒类型后,可以尝试参考文档《Linux系统对DDoS木马病毒排查及清除》(附产品)进行清除。

如果无法彻底清除,建议备份好系统中的个人数据后使用私有镜像或官方镜像重置系统。

通常绝大多数安全入侵都是通过完全开放的端口策略以及应用漏洞实现,因此使用默认安全组开放所有端口的安全风险极高。

特别提示:

针对linux云主机,建议您绑定linux开放22端口安全组,移除默认安全组,单独开放需要的端口,操作方法请参考下列文档:

安全组概述(https://docs.jdcloud.com/cn/virtual-machines/security-group-overview)

安全组绑定云主机(https://docs.jdcloud.com/cn/virtual-machines/associate-security-group)

安全组解绑云主机(https://docs.jdcloud.com/cn/virtual-machines/disassociate-security-group)

配置安全组入站规则(https://docs.jdcloud.com/cn/virtual-machines/configurate-inbound-rules)

配置安全组出站规则(https://docs.jdcloud.com/cn/virtual-machines/configurate-outbound-rules)

修改ssh协议端口(https://docs.jdcloud.com/cn/virtual-machines/ssh-service-change-port)

使用复杂密码并定期更换

同时定期对您的云主机制作私有镜像(https://docs.jdcloud.com/cn/virtual-machines/create-private-image)和云硬盘快照(https://docs.jdcloud.com/cn/cloud-disk-service/create-clouddisk-snapshot),备份您的系统配置和数据,以便在出现意外时可以使用私有镜像重置您的系统。

Linux云主机安全入侵排查步骤的更多相关文章

  1. linux云主机怎么安装WDCP

    linux云主机 教你成功安装WDCP的2个方法(第一个不成功就试第2个) 工具/原料   Xshell 云服务器 方法/步骤   1 先用Xshell连接你的服务器 2 输入一下代码    wget ...

  2. Linux云主机安装JDK,配置hadoop的详细方式

    云主机我使用的是青云的,还有好多其他品牌,比如阿里云 unitedstack 等等. 注册完青云后,会有试用券发到账户,可以利用此券试用其服务. 1 首先创建好一个主机,按照提示选择好系统,创建好一个 ...

  3. OpenStack平台上,linux云主机可以使用xshell连接,但是无法xftp连接

    笔者在OpenStack云平台上创建了CentOS6.6的云主机,用了一段时间后,发现xshell可以连接,但是xftp却连接不上. 于是进行伟大的百度操作,检查网络设置.ssh服务设置等,均正常,否 ...

  4. 挂载Linux云主机硬盘到本地计算机

      现在移动硬盘已经是每个人的生活必需品了,当然网络也是我们生活的必需品,我们现在就是要用网络存储代替硬盘存储,当然再实际使用过程中需要考虑到以下两个问题: 网络延迟 云主机磁盘IO   以上两个关键 ...

  5. Linux云主机 监控方案浅析

    1.为何需要监控 监控是运维工程师的眼睛,它可帮助运维工程师第一时间发现系统的问题. 对于服务器的整个生命周期,都要和监控打交道: 当有服务器上架,都需要加入比如CPU负载.内存.网络.磁盘等基础监控 ...

  6. 制作linux云主机镜像

    目录 制作linux云主机镜像 1.物理机环境准备 2.安装kvm虚拟机 3.操作虚拟机 4.在物理机上处理镜像 5.拷贝制作好的raw格式的镜像 6.发布镜像到云平台 制作linux云主机镜像 1. ...

  7. Linux应急响应入门——入侵排查

    点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # ...

  8. 使用阿里云主机离线部署CDH步骤详解

    一.Linux文件系统准备 1. 拍摄快照 登录阿里云控制台,拍摄快照,注意有几个关键点尽量拍摄快照,系统初始状态.CM环境准备完成.CM安装完成.CDH安装完成. 2. 挂载设备 三个主机都执行. ...

  9. 本地为Windows,使用Xshell登录Linux云主机

    以某东的云主机为实例 1. 下载并安装远程登录软件 下载Xshell软件 下载后双击xshell5_5.0.1332.exe进行安装 2. 安装完成,打开Xshell,并点击新建,根据要求输入相应参数 ...

随机推荐

  1. 监控pos收银机

    1.打开pos收银机snmp功能 控制面板-->程序和功能-->启用或关闭windows功能→简单网络管理协议(SNMP) 2.配置snmp服务 控制面板-->管理工具-->服 ...

  2. NC16561 [NOIP2012]国王的游戏

    NC16561 [NOIP2012]国王的游戏 题目 题目描述 恰逢 H 国国庆,国王邀请 \(n\) 位大臣来玩一个有奖游戏.首先,他让每个大臣在左.右手上面分别写下一个整数,国王自己也在左.右手上 ...

  3. Tapdata 肖贝贝:实时数据引擎系列(六)-从 PostgreSQL 实时数据集成看增量数据缓存层的必要性

      摘要:对于 PostgreSQL 的实时数据采集, 业界经常遇到了包括:对源库性能/存储影响较大, 采集性能受限, 时间回退重新同步不支持, 数据类型较复杂等等问题.Tapdata 在解决 Pos ...

  4. elasticsearchTemplate that could not be found

    ***************************APPLICATION FAILED TO START*************************** Description: Metho ...

  5. Linux 无法启动vmmon的问题[主要出现于Arch系]

    Vmmon module not loaded 使用如下命令加载模块 # modprobe -a vmw_vmci vmmon 可能会出现modprobe: WARNING: Module vmmon ...

  6. SpringBoot到底是什么?

    摘要:Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程. 本文分享自华为云社区<SpringBoot到底是什么?如何理解p ...

  7. Eclipse 安装配置和 Git 创建代码库 教程

    1. Eclipse 安装 http://www.eclipse.org/downloads/ 这是eclipse的官网,进入下载,步骤如下图: 选择Download或者下面的 [Select Ano ...

  8. 零基础学Java(10)面向对象-使用LocalDate类完成日历设计

    前言 在我们完成这个日历设计前,需要了解Java中的预定义类LocalDate的一些用法 语法 LocalDate.now() // 2022-07-01 会构造一个新对象,表示构造这个对象时的日期. ...

  9. 第五天python3 内建函数总结

    id()  返回对象在内存中的地址 hash() 返回对象的hash值 type() 返回对象的类型 float() int() bin() hex() oct() bool() list() tup ...

  10. 第三天python3 字典

    字典 dict 特点:key-value键值对的数据的集合    可变的.无序的.key不重复:非线性结构: 字典的初始化 d=dict() 或者 d = { } dict(**kwargs) 使用n ...