从Ubuntu移除虚拟货币挖矿类木马一例
故障描述:一台运行Ubuntu 20.04 LTS的戴尔R740服务器,发现运行计算密集型业务时频繁出现程序被Kill的现象。通过固件提供的硬件自检工具排除了内存、系统分区、CPU等存在故障的可能性。
使用htop查看资源占用,发现一半的处理器核心始终处于100%占用状态,推测为挖矿型木马病毒。
故障处理:使用安装有Ventoy的可引导磁盘引导到Ubuntu 22.04 LTS LiveCD。离线挂载系统分区,此处假设系统分区位于/dev/sdg4中:
cd /mnt
sudo mkdir sysroot
sudo mount /dev/sdg4 ./sysroot
cd sysroot随后,开始进行排查处理。
检查etc/cron.d/目录,发现文件名为随机字母和数字的任务计划文件(类似“5o3UNlCh”和“RGOnbupV”)。在etc/cron.daily/、etc/cron.hourly/、etc/cron.monthly/、etc/cron.weekly/目录中发现了具有相似命名风格和内容的文件。这些文件指向以下可执行文件:
/bin/z7OB0ehG
/bin/Dzidwe1X继续检查usr/lib/systemd/system/,发现文件名为随机字母和数字的服务文件(类似“799960ba.service”)。指向以下可执行文件:
/usr/bin/799960ba3e6dfece使用sudo rm命令删除以上所有可疑文件后,正常重新引导系统。使用htop查看资源占用发现已处于正常状态,计算密集型业务可以正常运行。
参考资料:
页面版本: 2, 最后编辑于: 07 May 2025 20:00