我的 Ubuntu 服务器感染了矿工蠕虫:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
我按照这里提到的指导方针进行清理: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
这解决了大部分问题,但仍然有一个进程在我的“top -c”上徘徊,消耗着大量 CPU 资源。
我执行了“ps -p”,找到了进程名称,从 /tmp 目录中删除了可执行文件,并终止了该进程。
然而,几秒钟后,另一个进程会以不同的名称和不同的可执行文件出现在 /tmp 文件夹中。它以 ib_addr 开头,然后是 vxfs,然后是其他内容,现在只是一些随机数字,如“1521626697”。
我该如何除掉这个蠕虫?
答案1
说实话?备份系统 - 转储所有数据库、转储软件包列表,然后 rsync 任何重要内容。关闭系统 - 您不能完全确保系统清洁。
本质上,Rootkit 是被设计用来修改系统文件的,因此你永远无法确定它是否在正在运行的系统中。
对你 rsync 过的文件运行 AV 扫描 - 你将要找到一些被拾起的东西,它们应该能让你清楚地知道哪里出了问题。
重新安装ubuntu 的一个新副本。关闭 SSH 根登录,进行设置,以便您可以仅有的进行基于密钥的身份验证,并可选择设置类似 fail2ban 的东西。
重新安装软件,恢复数据库等等。
这就是说,消灭蠕虫的唯一可靠方法是从轨道上摧毁该系统。