常用开采病毒处理方法1、常见病毒
病毒名称: qW3xT :
现象:占用超高CPU,进程检查后自行启动。
中毒案例((……) ) )。
2、病毒名称: Ddgs.3011
现象:占用超高CPU,进程检查后自行启动。
中毒案例((……) ) )。
3、病毒名称: S01wipefs
现象:占用超高CPU,无定时任务,但病毒源文件存放较多,较难清除干净。
中毒案例((……) ) )。
4、病毒名称: acpidtd
现象:占用超高CPU,无定时任务,但病毒源文件存放较多,较难清除干净。
中毒案例((……) ) )。
5、病毒名称: MSFC
现象:占用超高CPU和内存,病毒源文件单一,可方便地查杀。
中毒案例((……) ) )。
2、中毒基本现象
系统CPU使用率几乎为100%;
系统购物车,基本命令执行响应缓慢;
系统出现异常进程,无法正常关闭;
系统内存异常,占用不稳定。
3、基本分析过程
检查是否存在处理器密集型进程。
命令: PSaux|sortrnk3|head
检查是否有占用内存的进程。
命令: PSaux|sortrnk4|head
检查是否有异常的定时任务:
命令: Crontab -l
检查是否有异常的自我启发服务:
命令: ll /etc/rc.d/init.d
Cat /etc/rc.local
检查是否有异常的登录历史记录:
命令: lasta
4、病毒传播与生存原理
通过ssh暴力破解、u盘等物理介质、sql注入等形式将病毒源文件传播到服务器,以脚本、定时任务、自启动服务的形式运行采掘程序,kill后可重新启动。
如下所示。
5、处理过程
以上所有相关病毒基本上按上述方法确定并按以下步骤处理
1 ) top检查可疑进程,pkill杀死进程。 如果进程仍然存在,则表示存在计时器任务或守护程序(启动),然后检查/var/spool/cron/root和/etc/crontab和/etc/rc.lcoal
2 )发现可疑程序位置并删除,无法删除时查看隐藏权限。 lsattr chattr修改权限删除即可。
3 )检查/root/.ssh/目录中是否设置了无私钥登录,以查看ssh_config配置文件是否被篡改。
4 )在防火墙上关闭不需要的映射端口号,重新启动后测试是否仍存在可疑进程。
上述所有病毒检测方法如下附件。
6、结果验证
系统资源消耗恢复正常:
无病毒相关进程:
系统恢复正常使用,无明显纸箱:
不再自动生成异常计划任务:
/etc/rc*这些目录中没有与病毒相关的异常文件。
7、基本防护
1、建议配置login.defs文件。 具体来说,可以作为以下参考
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
FAIL_DELAY 10
2、配置pam.d/system-auth文件。 具体可以参考以下内容。
帐户请求/lib/security/PAM _ tally.sodeny=5no magic _ root reset。
passwordrequiredpam _ cracklib.sodcredit=-1u credit=-1o credit=-1l credit=0minlen=8
3、建议创建其他管理帐户并禁用root帐户的远程管理;
4、使用chmod命令修改rc3.d等文件权限,建议符合配置文件权限不超过644、可执行文件不超过755的原则。
5、建议在系统中部署支持统一管理的恶意代码防范软件,定期对服务器操作系统进行恶意代码扫描。
7、建议限制登录终端操作超时时间。 具体请参考以下内容。
配置/etc/profile文件,添加TMOUT=300,然后超时并退出参数。
8、配置/etc/hosts.deny和/etc/hosts.allow文件,限制终端登录地址范围
对于每种病毒特性,也有相应的防护方法。 具体请参考以下防护部分。