病毒来了, 我的个人站点使用了 wordpress, 它的不知哪个漏洞让黑客攻入了我的站点
使用 top 命令看到了有不明进程始终占据了 100% 的 CPU
通过以下 "三板斧"可以查杀这个进程
先用 top (shift+p) 查找占据 CPU 最多的进程
根据其进程号 pid 查看这个进程在哪里
$ sudo ls -l /proc/$pid/cwd
$ sudo ls -l /proc/$pid/exe
$ sudo cat /proc/$pid/cmdline
$ sudo cat /proc/$pid/environ
- 先杀后删
$ kill -9 $pid
$ rm -f $proc_location
上面这三板斧经常没什么用, 一会儿它又起来了, 通过 'crontab -l' 也没看到有 cronjob 存在, 不过可以断定它是通过 wordpress docker 的 php 进程侵入进来了, 于是更新 docker image, 删除 9000 端口映射, 重启 docker 进程, 暂时没有再发现有可疑进程.
针对挖矿病毒的开源和免费检测及防护工具有不少,需要花钱的不说, 有些开源或免费的可以尝试用来保护你的服务器:
1. ClamAV
- 类型: 开源防病毒软件
- 特点:
- ClamAV 是一款跨平台的开源防病毒引擎,主要用于检测和移除多种类型的恶意软件,包括挖矿病毒。
- 它可以集成到邮件服务器、Web服务器等系统中,用于实时监控和防护。
- 定期更新病毒库,具有较强的可定制性。
- 官网: ClamAV
2. Malwarebytes
- 类型: 免费和付费版本的恶意软件清除工具
- 特点:
- 虽然主要功能是恶意软件检测,但它的免费版本可以扫描系统并移除挖矿病毒和恶意软件。
- 付费版本有实时防护功能,可以防止浏览器加载挖矿脚本。
- 易于使用,适合个人和小型企业。
- 官网: Malwarebytes
3. NoCoin
- 类型: 浏览器扩展
- 特点:
- NoCoin 是一款免费开源的浏览器扩展,旨在阻止浏览器挖矿脚本的执行。
- 支持 Chrome、Firefox 和其他基于 Chromium 的浏览器,能够拦截常见的 JavaScript 挖矿脚本。
- 轻量级且不影响浏览体验,是防止“浏览器挖矿”非常有效的工具。
- GitHub: NoCoin GitHub
4. MinerBlock
- 类型: 浏览器扩展
- 特点:
- MinerBlock 是另一个用于浏览器的开源扩展,类似于 NoCoin,专门防止恶意挖矿脚本在浏览器上运行。
- 它通过阻止已知的挖矿域名和嵌入的挖矿脚本来起到防护作用。
- 可以动态检测并阻止新的挖矿行为,不需要频繁更新列表。
- 官网: MinerBlock
5. Chkrootkit
- 类型: 开源 rootkit 检测工具
- 特点:
- Chkrootkit 是用于检测和移除 rootkit 的轻量级开源工具,可以检测隐藏的挖矿病毒及恶意软件。
- 通过扫描系统中可疑的二进制文件和进程,它能够发现已知的恶意软件。
- 尤其适用于 Linux 环境的挖矿病毒检测。
- 官网: Chkrootkit
6. rkhunter (Rootkit Hunter)
- 类型: 开源 rootkit 检测工具
- 特点:
- Rootkit Hunter 是一个跨平台的开源工具,专门用于检测 rootkit、后门程序以及其他恶意软件,能够帮助发现隐藏的挖矿病毒。
- 它会检查系统中的隐藏文件、可疑权限、特洛伊木马和rootkit。
- 支持 Linux 和 Unix 系统,适合服务器环境中的恶意挖矿检测。
- 官网: rkhunter
7. Cudo Miner
- 类型: 免费的挖矿管理工具(带检测功能)
- 特点:
- Cudo Miner 主要是一款合法的加密货币挖矿软件,但它也带有防止恶意挖矿的功能。
- Cudo Miner 会监控系统资源使用情况,帮助用户识别是否存在其他恶意挖矿行为,从而防止不必要的资源浪费。
- 尤其适合对加密货币挖矿感兴趣但又担心挖矿病毒的用户。
- 官网: Cudo Miner
8. OSSEC
- 类型: 开源入侵检测系统 (HIDS)
- 特点:
- OSSEC 是一款免费开源的主机入侵检测系统,能够检测系统中的可疑活动,包括恶意挖矿行为。
- 它可以通过日志分析、文件完整性检查、rootkit 检测等方式,实时监控并发出告警。
- 适用于复杂的服务器和企业网络环境。
- 官网: OSSEC
9. Sophos Home Free
- 类型: 免费防病毒和防恶意软件工具
- 特点:
- Sophos 提供一个免费版本的家庭用户防护工具,可以帮助用户检测和阻止挖矿病毒及其他恶意软件。
- 具有基于云的防护功能,能够阻止来自互联网的恶意脚本和网络威胁。
- 官网: Sophos Home Free
文章转载自: http://broomcorn.c7624.cn http://tea.c7624.cn http://hostageship.c7624.cn http://infula.c7624.cn http://tutelar.c7624.cn http://paralysis.c7624.cn http://mclntosh.c7624.cn http://shiur.c7624.cn http://calla.c7624.cn http://undope.c7624.cn http://quadriga.c7624.cn http://lionhood.c7624.cn http://polymolecular.c7624.cn http://gotta.c7624.cn http://router.c7624.cn http://khaf.c7624.cn http://qarnns.c7624.cn http://unwatchful.c7624.cn http://distinguish.c7624.cn http://burnet.c7624.cn http://stapes.c7624.cn http://reinfect.c7624.cn http://hypospadias.c7624.cn http://ethogram.c7624.cn http://flowstone.c7624.cn http://sympathizer.c7624.cn http://legitimation.c7624.cn http://minitance.c7624.cn http://autotelegraph.c7624.cn http://zygodactylous.c7624.cn http://polytechnic.c7624.cn http://anthropometry.c7624.cn http://lopstick.c7624.cn http://needy.c7624.cn http://valine.c7624.cn http://proconsulship.c7624.cn http://ecclesiae.c7624.cn http://foreship.c7624.cn http://erythrochroism.c7624.cn http://slavophobe.c7624.cn http://uncase.c7624.cn http://remontant.c7624.cn http://embus.c7624.cn http://rubrical.c7624.cn http://intoxicated.c7624.cn http://amphigory.c7624.cn http://taenicide.c7624.cn http://grainfield.c7624.cn http://conductometer.c7624.cn http://haemin.c7624.cn http://nonjurant.c7624.cn http://infieldsman.c7624.cn http://seismotic.c7624.cn http://trinocular.c7624.cn http://hyperslow.c7624.cn http://school.c7624.cn http://snagged.c7624.cn http://donizettian.c7624.cn http://oversleeve.c7624.cn http://kith.c7624.cn http://notts.c7624.cn http://atebrin.c7624.cn http://pimola.c7624.cn http://gullibility.c7624.cn http://lanky.c7624.cn http://exordia.c7624.cn http://daughter.c7624.cn http://thermidorean.c7624.cn http://lumen.c7624.cn http://kiloampere.c7624.cn http://haemoglobinuria.c7624.cn http://loosely.c7624.cn http://belletrism.c7624.cn http://sheepskin.c7624.cn http://pity.c7624.cn http://springhouse.c7624.cn http://kannada.c7624.cn http://innocuously.c7624.cn http://quadrupedal.c7624.cn http://viscidity.c7624.cn http://demonstrably.c7624.cn http://carbonyl.c7624.cn http://roofless.c7624.cn http://diffract.c7624.cn http://opiate.c7624.cn http://considerable.c7624.cn http://elva.c7624.cn http://split.c7624.cn http://bust.c7624.cn http://ziti.c7624.cn http://elastically.c7624.cn http://pike.c7624.cn http://anchorperson.c7624.cn http://sturmer.c7624.cn http://excise.c7624.cn http://imitable.c7624.cn http://celticize.c7624.cn http://inaccurate.c7624.cn http://abandonment.c7624.cn http://overnight.c7624.cn
