记一次xmrig挖矿病毒排查日记_xmrig/6.20.0-c3pool

前言

一台运行了好久的服务器CPU使用率达到100%，脑海中第一个想法就是中病毒了，于是开始了我的杀毒之旅。

解决方案

登录服务器查异常进程

top -c
1

可以发现有个名为xmrig的进程CPU使用率98.7%

kill掉异常进程

经过top命令发现异常进程的pid，通过kill命令杀掉进程

kill -9 15866
1

删除危险文件或目录

经过top命令发现异常进程的执行目录，删除危险目录

rm -rf c3pool/
1

检测

可以使用top命令查看，我这里使用了shell脚本检测CPU、磁盘、内存使用率

#!/bin/bash
##############################################
#Filename: jiankong.sh
#Description: 监控cpu、磁盘、内存使用率
##############################################

logFile=/tmp/jiankong.log
#获取报警时间
now_time=`date '+%F %T'`

#获取cpu使用率
cpuUsage=`top -b -n5 | fgrep "Cpu(s)" | tail -1 | awk -F'id,' '{split($1, vs, ","); v=vs[length(vs)]; sub(/\s+/, "", v);sub(/\s+/, "", v); printf "%d", 100-v;}'`
#统计内存使用率
mem_used_persent=`free -m | awk -F '[ :]+' 'NR==2{printf "%d", ($3)/$2*100}'`
#获取磁盘使用率
data_name="/dev/vda1"
diskUsage=`df -h | grep $data_name | awk -F '[ %]+' '{print $5}'`

function check(){
    echo -e "CPU使用率：${cpuUsage}%\n磁盘使用率：${diskUsage}%\n内存使用率：${mem_used_persent}%"
    if [[ "$cpuUsage" > 80 ]] || [[ "$diskUsage" > 80 ]] || [[ "$mem_used_persent" > 80 ]];then
        echo "报警时间：${now_time}" > $logFile
    	echo -e "CPU使用率：${cpuUsage}% --> 磁盘使用率：${diskUsage}% --> 内存使用率：${mem_used_persent}%" >> $logFile
    fi
}
function main(){
    check
}
main

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

结果：

[root@iZ2zecnyl7dn3k4brxn52uZ ~]# sh jiankong.sh 
CPU使用率：1%
磁盘使用率：10%
内存使用率：49%
1
2
3
4

云平台监控：

优化建议

现在大部分企业用户与个人用户都选择了云计算，可以大大降低成本与简易化。但是云平台安全防护还是要自己做一些优化的，下面给大家一些建议。

1. 个人用户的服务器用密码登录禁止root用户登录，设置普通用户并赋予sudo权限，除了账号密码登录之外，还可以选择密钥登录。
2. 登录密码一定要设置复杂一些，推荐一个在线生成密码工具
3. 企业用户一般都选择堡垒机，尽量避免服务器直接开放公网访问。
4. 安全组策略尽量避免外所有IP开放重要端口，特别是数据库端口入MySQL:3306、Redis:6379等。