美国服务器Linux系统常见病毒的解决方法:1。Start Miner病毒。会在美国服务器Linux系统上创建多个包含2start.jpg字符串的恶意定时任务。解决方法是结束挖矿进程x86_。删除所有带有2start.jpg字符串的定时任务。清除所有带有2start.jpg字符串的wget进程;2。Rainbow Miner病毒。采用多种方式进行隐藏及持久化攻击服务器。解决方法是下载busy box。用busy box top定位挖矿进程kthreadds及母体进程pdflushs。并进行清除。删除/usr/bin/kthreadds。/etc/init.d/pdflushs文件和/etc/rc*.d/下的启动项。删除/lib64/下的病毒伪装文件和清除python cron.py进程。
具体内容如下:
1。Start Miner病毒
Start Miner病毒通过SSH进行传播。其主要特点是会在美国服务器Linux系统上创建多个包含2start.jpg字符串的恶意定时任务。Start Miner病毒通过SSH传播新型的Linux挖矿木马。该木马通过在美国服务器上创建多个定时任务。多个路径释放功能模块的方式进行驻留。并存在SSH暴力破解模块。下载并运行开源挖矿程序。
中毒现象:美国服务器定时任务里有包含2start.jpg的字符串;美国服务器/tmp/目录下存在名为x86_的病毒文件;美国服务器/etc/cron.d目录下出现多个伪装的定时任务文件:apache。nginx。root。
解决方案:美国服务器结束挖矿进程x86_;删除美国服务器所有带有2start.jpg字符串的定时任务;清除美国服务器所有带有2start.jpg字符串的wget进程。
2。Rainbow Miner病毒
Rainbow Miner病毒最大的特点是会隐藏挖矿进程kthreadds。美国服务器管理人员会发现美国服务器CPU占用率高。却没有发现可疑进程。是有因为Rainbow Miner病毒采用了多种方式进行隐藏及持久化攻击。
中毒现象:隐藏挖矿进程/usr/bin/kthreadds。美国服务器CPU占用率高却看不到进程;美国服务器会访问Rainbow66.f3322.net恶意域名;会创建SSH免密登录公钥。实现持久化攻击;美国服务器存在cron.py进程。
解决方案:美国服务器下载busy box。使用busy box top定位到挖矿进程kthreadds及母体进程pdflushs。并进行清除;美国服务器删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件。及/etc/rc*.d/下的启动项;美国服务器删除/lib64/下的病毒伪装文件;清除美国服务费去python cron.py进程。
本文地址:https://gpu.xuandashi.com/53926.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!
