挖矿病毒sysupdate解决记录与小结

CPU疯狂飙升100%，阿里云短信预警，内心慌得一批。。。

 

经过咨询大佬和参考网上各个大佬们的文章，按这个大佬的方案进行解决https://blog.csdn.net/weixin_43141627/article/details/108599516

 

然后自己再做个小结：

1、各个应用最好不要用默认端口（如服务器ssh连接端口22、redis的6379等等），容易被扫描然后暴力破解；
2、服务器密码尽量设置复杂一点，就算暴力破解也得花时间，可通过此地址生成密码https://suijimimashengcheng.51240.com；
3、像诸如redis这种缓存机制+持久化的应用开启远程连接权限需慎用（我们因为大家在家办公，为了方便就开启了，密码也简单所以很容易就被入侵了）；
4、一旦被病毒入侵后，最好就是将现有的资源进行备份或迁移（如svn、数据库等等），然后进行重装系统，必要的话还可以防火墙加白名单限制访问服务。

 

针对病毒主程序写了一个简单的清理脚本（可以加入定时任务中定时执行）

#!/bin/bash
#
# author：liusha
# description：挖矿病毒文件清理

SName=sysupdate
NName=networkservice

SPath=/etc/$SName
NPath=/etc/$NName

SPid=`ps -ef | grep ${SName} | grep -v grep | awk '{print $2}'`
NPid=`ps -ef | grep ${NName} | grep -v grep | awk '{print $2}'`

#杀死【sysupdate XMR 挖矿】进程
if [[ ! -n "$SPid" ]]; then
    echo "${SName}进程未运行，可能已经被杀死"
else
    echo "准备杀死${SName}的进程，pid=${SPid}"
    kill -9 $SPid
fi
#杀死【networkservice scanner扫描并入侵其他的主机】进程
if [[ ! -n "$NPid" ]]; then
    echo "${NName}进程未运行，可能已经被杀死"
else
    echo "准备杀死${NName}的进程，pid=${NPid}"
    kill -9 $NPid
fi

#清理【sysupdate XMR 挖矿】文件
if [[ ! -f "$SPath" ]]; then
    echo "${SPath}文件不存在，可能已经被清理"
else
    chattr -i $SPath
    echo "${SPath}权限文件修改成功 准备删除..."
    rm -rf $SPath
fi
#清理【networkservice scanner扫描并入侵其他的主机】文件
if [[ ! -f "$NPath" ]]; then
    echo "${NPath}文件不存在，可能已经被清理"
else
    chattr -i $NPath
    echo "${NPath}权限文件修改成功 准备删除..."
    rm -rf $NPath
fi