我的 Ubuntu 伺服器感染了礦工蠕蟲病毒:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
我按照此處提到的指南進行清理: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
這解決了大部分問題,但仍有一個進程掛在我的「top -c」上,消耗大量 CPU 資源。
我執行了“ps -p”,找到了進程名稱,從 /tmp 目錄中刪除了可執行文件,然後終止了該進程。
然而,幾秒鐘後,另一個進程在其位置上彈出,具有不同的名稱,並且 /tmp 資料夾中有一個不同的可執行檔。它以 ib_addr 開始,然後是 vxfs,然後是其他內容,現在只是隨機數字,例如“1521626697”。
我該如何擺脫這種蠕蟲?
答案1
誠實地?備份系統 - 轉儲任何資料庫、轉儲包清單以及 rsync 任何重要的內容。關閉系統 - 你不能完全確保系統是乾淨的。
Rootkit 本質上是為了修改系統檔案而設計的,您永遠無法真正確定它是否已在正在運行的系統上消失。
對您同步的檔案執行 AV 掃描 - 您將要找到一些被拾取的東西,這應該能讓你清楚知道出了什麼問題。
重新安裝ubuntu 的新副本。關閉 SSH root 登錄,進行設定以便可以僅有的進行基於金鑰的身份驗證,並可選擇設定諸如fail2ban之類的內容。
重新安裝軟體,恢復資料庫等等。
這就是說,消滅蠕蟲的唯一可靠方法是將系統從軌道上發射出去。