统信服务器操作系统1021D版感染挖矿病毒如何解决？

---

评论 7 条

• 

  Fhawking 2024-01-25 14:06:00

  应用场景

  硬件/整机信息：ARM平台TaiShan服务器

  CPU架构：鲲鹏920

  OS版本信息：服务器企业版1020d

  软件信息：用户服务器上没有安装杀毒防护软件  

   

  问题现象

    用户日常巡检发现服务器CPU占用非常高，使用top命令查看到某应用程序占用cpu高达99.3%。服务器日常使用非常卡顿：

  

   

   

  问题原因

  经过检查发现用户侧服务器上没有安装相关杀毒防护软件，以及防火墙处于关闭状态，同时用户单位服务器绑定的是公网IP，服务器处于裸奔状态，此状态的服务器系统容易受到外界病毒感染。

   

   

  解决方案

  1、 根据高负载进程find / name kdevtmpfsi 找到病毒文件所在位置：  

  

   

   

  2、此时不要认为删除掉病毒文件就可以彻底解决问题，经过现场测试删除掉病毒文件后，重启服务器系统后病毒文件依旧存在：

  

   

   

  3、 然后通过ps -axjf | grep kdevtmpfsi或者pstree -aps 32559 （病毒进程PID）之类的指令，查看程序是否有父进程或子进程，病毒进程的父进程或子进程可能就是守护进程，通过找到挖矿病毒的守护进程kinsing并将其杀掉：  

  

   

   

  4、删除守护进程文件（如果不删除守护进程，只删除挖矿程序，守护进程会一直重启它）：

  

   

   

  5、删除挖矿程序的所有文件（此次用户环境中是删除了/var/tmp/目录下文件，请一定注意不要误删除系统数据）：

  

   

   

  6、杀死当前仍运行的挖矿进程：

  

   

   

  7、最重要的一步， 一定要检查crontab定时任务中是否存在和病毒相关联的定时任务，发现的话一定要删除掉病毒相关联任务：

  
  赞同 3 反对 0

  回复

  ---

  信创相关的一些分享，创作
• 

  777 2024-01-25 14:22:40

  @Fhawking 附议

   

  赞同 1 反对 0

  回复

  ---

  随便写些什么刷下存在感
• 

  derek在工位 2024-01-25 14:24:27

  1. 首先，断开网络连接，防止病毒进一步传播。

  2. 使用杀毒软件进行查杀。在统信应用商店中，搜索并安装杀毒软件，如360杀毒、火绒等。然后，使用杀毒软件对系统进行全面扫描，清除病毒。

  3. 检查系统进程。在终端中，输入以下命令查看系统进程：

   

  ps aux

  如果发现有异常的进程，可以使用以下命令结束进程：

   

  kill <pid>

  其中，<pid>是进程的ID号。

  4. 检查启动项。使用以下命令查看系统启动项：

   

  systemctl list-unit-files

  如果发现有异常的启动项，可以使用以下命令禁止启动：

   

  sudo systemctl disable <unit-name>

  其中，<unit-name>是启动项的名称。

  5. 检查文件系统。使用以下命令查看系统文件系统：

   

  df -h

  如果发现有异常的文件，可以使用以下命令删除文件：

   

  sudo rm -rf <file-path>

  其中，<file-path>是文件的路径。

  6. 更新系统。在终端中，输入以下命令更新系统：

   

  sudo apt-get update
  sudo apt-get upgrade

  7. 重启系统。在终端中，输入以下命令重启系统：

   

  sudo reboot

  8. 安装防火墙。为了防止未来的病毒感染，建议安装防火墙。在统信应用商店中，搜索并安装防火墙软件，如UFW等。

  9. 定期安全检查。为了防止未来的病毒感染，建议定期进行安全检查。可以使用以下命令检查系统中是否存在可疑文件：

   

  sudo rkhunter --check

  如果发现可疑文件，可以使用以下命令进行清除：

   

  sudo rkhunter --remove <file-path>

  其中，<file-path>是可疑文件的路径

  赞同 0 反对 0

  回复

  ---

  努力打工的干饭人
• 

  信创来了 2024-01-25 14:58:42

  @777 可以的

  赞同 0 反对 0

  回复

  ---

  信创来了，信创来了，信创来了！
• 

  theme 2024-01-25 15:31:58

  1. 系统性能监控

  • 监控CPU和内存使用率：
    • 使用 top 或 htop 命令监控资源使用情况。
    • 注意哪些进程占用了大量资源。挖矿病毒通常会导致某个进程的CPU或内存使用率异常高。

  2. 检查网络活动

  • 监控网络流量：

    • 使用 nethogs 或 iftop 等工具监控网络流量。
    • 挖矿病毒可能会产生异常的出入流量，特别是对某些特定IP地址或端口。

  • 检查开放端口和监听服务：

    • 使用 netstat -tulnp 或 ss -tulnp 查看当前开放的端口和监听的服务。
    • 注意任何不寻常或未认识的服务。

  3. 病毒扫描和恶意软件检测

  • 运行病毒扫描：

    • 使用统信操作系统推荐的安全软件进行全面的病毒扫描。
    • 关注扫描结果中的任何可疑或已知的挖矿病毒。

  • 手动检查可疑文件：

    • 检查系统中的临时文件夹，如 /tmp，以及用户目录下的隐藏文件和文件夹。

  4. 系统日志审查

  • 检查系统日志：
    • 审查 /var/log/ 目录下的日志文件，特别是 syslog、auth.log 等。
    • 寻找任何异常的登录尝试、失败的进程启动、或其他可疑活动的记录。

  5. 进程和服务分析

  • 分析可疑进程：
    • 使用 ps aux 或 pstree 查看当前运行的进程。
    • 注意任何不寻常或未知的进程，尤其是那些资源使用率异常高的进程。

  6. 清理和隔离

  • 隔离受感染的系统：

    • 将受感染的服务器从网络中隔离，以防止病毒传播。

  • 终止可疑进程：

    • 使用 kill 命令终止任何可疑的进程。

  • 删除恶意文件和服务：

    • 根据病毒扫描结果，删除恶意文件和服务。
    • 检查 crontab -e 和 /etc/cron.* 目录，移除任何可疑的定时任务。

  7. 系统更新和补丁应用

  • 更新操作系统和软件：
    • 确保所有的系统和软件都更新到最新版本。
    • 安装所有可用的安全补丁。

  8. 更改安全凭证

  • 更新密码和密钥：
    • 更改系统用户的密码。
    • 如果使用SSH，更换SSH密钥，并检查 ~/.ssh/authorized_keys 文件中是否有未授权的密钥。
  赞同 0 反对 0

  回复

  ---
• 

  prtyaa 2024-01-28 23:00:11

  统信服务器操作系统1021D版感染挖矿病毒后，可以采取以下措施来解决：

  1. 立即断开网络连接，避免病毒进一步传播。
  2. 使用杀毒软件对系统进行全面查杀。
  3. 如果杀毒无效，可以尝试卸载感染病毒的软件和相关驱动程序，并重新安装干净的系统。
  4. 如果以上方法都不起作用，可以考虑备份数据后恢复出厂设置或重新安装系统。
  5. 在处理过程中，要保持冷静，不要过于紧张和恐慌。同时，要注意个人防护，避免感染病毒。

  需要注意的是，解决统信服务器操作系统感染挖矿病毒的问题需要谨慎操作，建议在专业人士的指导下进行。

  赞同 0 反对 0

  回复

  ---

  丫哈哈哈哈哈哈哈各个环节
• 

  IT-feng 2024-01-29 09:53:13

  @Fhawking 的确可以

  赞同 0 反对 0

  回复

  ---

  我的梦想如此简单一亩良田，一间茅屋，一亿存款，我已经完成前面两个