介绍经常有用户反映系统被植入恶意程序,如挖矿软件、ddos攻击病毒、syn映射攻击病毒等,可以查看入侵病毒用户按照以下流程打字:1、定位病毒进程针对用户反馈云主机性能卡顿,CPU内存占用高:执行TOP命令查看CPU占用高的异常进程。一般在80%以上,有的病毒可能CPU占用不高,但是命令名明显不是系统进程,也不是用户进程,比如tsm、lixsyn、ynlyvtpxia等。如图:注意运行异常进程的用户,大部分是root,他们也可能是其他应用程序用户。一般是可以登录系统的用户。病毒破解用户登录密码后,使用该用户登录系统。根据被入侵用户的权限,将病毒程序上传到不同的目录,此类病毒一般具有防止删除和进程自动启动的功能。即不能从目录中删除,删除后会自动恢复。在使用Kill-9命令清除进程后,该进程会自动再次启动。上图红框中的病毒程序为病毒程序。虽然它不会占用大量的CPU和出站带宽,但它仍然具有防止删除和自动启动的特性。找到进程后,记录下PID进程号,用于后面定位未知病毒程序。如果用户反馈云主机连接速度慢,但CPU和内存占用率不高,可能是云主机出带宽满导致的。这时候ping云主机的公网IP会出现大量丢包。通过VNC连接云主机,使用iftop命令定位占用带宽高的进程(iftop命令使用教程可参考文档《Linux流量监控工具 - iftop (最全面的iftop教程)》:https://developer.jdcloud.com...),一般同一个端口有大量来自外部公网IP的数据进出,这种现象多为病毒或恶意攻击造成。使用iftop-P定位到流量大的端口,然后使用lsof-i:portnumber命令查看并记录该端口的进程号。2、根据第一步定位的病毒进程号定位病毒程序所在位置,定位运行病毒程序路径,命令如下:ll/proc/进程号Linux系统会创建一个以进程号命名的进程号在/proc目录下为每个正在运行的进程该目录记录了进程的相关信息,exe项为进程对应的程序路径,如图:病毒文件上传到/usr/bin目录下,显然病毒已经获得了root权限。有时也会放在/tmp目录下,这取决于病毒获得的用户权限不同。输入文件所在的路径。大多数病毒文件在删除后会重新出现,无法彻底清除。这就是为什么我们一般建议用户在中毒后重置系统。生成病毒文件的tar包或者病毒文件所在的病毒创建的目录,然后使用lrzsz工具下载到本地。之所以对单个文件做tar是为了防止下载到本地后被杀毒软件删除,如果不是tar包格式再上传到病毒分析网站,有时会得不到分析结果.病毒分析网站有很多,常用的有:https://x.threatbook.cn/http://www.virustotal.comhttp://r.virscan.org就拿https://x.threatbook.cn/例如,打开网页后,点击下图红框中的上传文件,选择病毒tar包上传。等待文件上传完成后,点击下图红框中的扫描文件,进入分析页面。网站会使用不同的安全软件对病毒进行分析并给出分析结果。有的可以被检测为病毒,有的不能被检测为病毒。如果有多个文件被报告为病毒,则可以确认为病毒。如图所示,扫描到的病毒是DDoS攻击病毒。确认病毒类型后,可参考文档《Linux系统对DDoS木马病毒排查及清除》(附品)尝试清除。如果无法彻底清除,建议备份系统中的个人资料,使用私有镜像或官方镜像重置系统。通常,大多数安全入侵都是通过完全开放端口策略和应用程序漏洞来实现的,因此使用默认安全组开放所有端口具有非常高的安全风险。特别提示:对于Linux云主机,建议您绑定Linux开放22端口安全组,去掉默认安全组,单独开放需要的端口。操作方法参考如下文档:安全组概述(https://docs.jdcloud.com/cn/v...)安全组绑定云主机(https://docs.jdcloud.com/cn/v...).com/cn/v...)安全组解绑云主机(https://docs.jdcloud.com/cn/v...)配置安全组入站规则(https://docs.jdcloud.com/cn/v...)配置安全组出站规则(https://docs.jdcloud.com/cn/v...)修改ssh协议端口(https://docs.jdcloud.com/cn/v...)使用复杂的密码并定期更改密码并定期为您的云主机制作私有镜像(https://docs.jdcloud.com/cn/v...)和云盘快照(https://docs.jdcloud.com/cn/c...),备份您的系统配置和数据,以便您可以使用私有镜像重置您的系统。
