LubWn Asked: 2018-06-09 18:38:33 +0800 CST2018-06-09 18:38:33 +0800 CST 2018-06-09 18:38:33 +0800 CST 如何清理 Ubuntu 安装的病毒/矿工? 772 所以看起来我们的 VPS 被黑客入侵了,我注意到网站运行缓慢,所以我使用 htop 检查了进程。存在各种 cpuminer,使处理器的使用率接近 100%。我认为 hack 来自于常用 CMS 的过时安装。进程拥有所有者 www 数据。 有可能以某种方式摆脱这种情况吗?clamav 会感染病毒还是我需要进行全新安装? malware antivirus clamav 1 个回答 Voted Best Answer Lienhart Woitok 2018-06-10T00:16:17+08:002018-06-10T00:16:17+08:00 TL;DR:设置一个新的 VPS 并从头开始重新设置 CMS。 特别是如果您不知道如何自己清理系统,最安全和最简单的方法是设置新的 VPS。如果您不知道要寻找什么以及感染是如何发生的,那么在进行清理时很容易遗漏一些东西,然后感染可能会从这些残留物重新开始。很难从系统中找到并删除所有感染痕迹。我已经为我们的一些客户这样做了,这是可能的,但这需要时间和知识。 如果您设置了新的 VPS,请不要将旧的、过时的 CMS 安装在新的 VPS 上,因为它也只需要几个小时或几天就会被感染。您必须将 CMS 更新到受支持的安全版本,并清除攻击者设置的任何后门。同样,如果您不知道如何执行此操作,最简单的方法可能是在新 VPS 上安装 CMS,然后将旧安装中的内容复制到新安装中。不要复制整个数据库或文件,因为两者都可能包含后门,具体取决于相关 CMS。 如果您有一个干净、未受感染的 CMS 副本,您可以将其复制到新的 VPS。 如果您有一个副本但它已经过时并且您想保留您的旧内容,您可以尝试将副本与受感染的安装进行比较。diff -ru copy infected在这里可能会有所帮助,但您需要再次知道您在寻找什么。 无论有没有副本,您还可以尝试列出在过去一个月(如果感染发生在一段时间之前,则更长)内修改过的所有文件find -mtime -30。然而,这并不安全,因为攻击者可能伪造了文件的修改时间。 如果您在文件中看到一些乱码,.php这通常是文件受感染的迹象。类似于下面的内容是受感染文件的一个非常确定的迹象。 eval(base64_decode('ZWNobyAiSGVsbG8gTHViV24sIHRoaXMgaXMgaG93IGNvZGUgb2Z0ZW4gbG9va3MgbGlrZSBpZiBhbiBhdHRhY2tlciB3YW50cyB0byBoaWRlIHdoYXQgdGhlIGNvZGUgZG9lcyBmcm9tIHlvdXIgcHJ5aW5nIGV5ZXMuIjs=')); 当然,您可以grep -r eval .针对这些行,但并非所有感染都必须包含eval. 还有其他方法可以执行随机代码,攻击者可能添加了未混淆的代码。 请注意,如果您走这条路,您必须找到攻击者操纵您的 CMS 的所有地方并清理它们,否则感染可能会继续。 在您的情况下,也可能有一种中间方式。假设攻击者没有获得root特权(假设当然是不安全的,但由于矿工运行www-data可能是真的),您可以备份然后删除所有属于www-data. 备份当然应该在不同的系统上,CMS 不应该从该备份运行。您还应该清除www-data( crontab -e -u www-data) 的 crontab。如果只有用户 www-data 被感染,这应该完全从您的系统中删除感染,您可以开始在 VPS 上安装新的 CMS。如果感染继续,您应该设置一个新的 VPS 并再次进行 CMS 安装。 关于clamav:您可以尝试运行它,但它很可能无法清除感染,因此您的净收益可能为零。
TL;DR:设置一个新的 VPS 并从头开始重新设置 CMS。
特别是如果您不知道如何自己清理系统,最安全和最简单的方法是设置新的 VPS。如果您不知道要寻找什么以及感染是如何发生的,那么在进行清理时很容易遗漏一些东西,然后感染可能会从这些残留物重新开始。很难从系统中找到并删除所有感染痕迹。我已经为我们的一些客户这样做了,这是可能的,但这需要时间和知识。
如果您设置了新的 VPS,请不要将旧的、过时的 CMS 安装在新的 VPS 上,因为它也只需要几个小时或几天就会被感染。您必须将 CMS 更新到受支持的安全版本,并清除攻击者设置的任何后门。同样,如果您不知道如何执行此操作,最简单的方法可能是在新 VPS 上安装 CMS,然后将旧安装中的内容复制到新安装中。不要复制整个数据库或文件,因为两者都可能包含后门,具体取决于相关 CMS。
如果您有一个干净、未受感染的 CMS 副本,您可以将其复制到新的 VPS。
如果您有一个副本但它已经过时并且您想保留您的旧内容,您可以尝试将副本与受感染的安装进行比较。
diff -ru copy infected在这里可能会有所帮助,但您需要再次知道您在寻找什么。无论有没有副本,您还可以尝试列出在过去一个月(如果感染发生在一段时间之前,则更长)内修改过的所有文件
find -mtime -30。然而,这并不安全,因为攻击者可能伪造了文件的修改时间。如果您在文件中看到一些乱码,
.php这通常是文件受感染的迹象。类似于下面的内容是受感染文件的一个非常确定的迹象。当然,您可以
grep -r eval .针对这些行,但并非所有感染都必须包含eval. 还有其他方法可以执行随机代码,攻击者可能添加了未混淆的代码。请注意,如果您走这条路,您必须找到攻击者操纵您的 CMS 的所有地方并清理它们,否则感染可能会继续。
在您的情况下,也可能有一种中间方式。假设攻击者没有获得
root特权(假设当然是不安全的,但由于矿工运行www-data可能是真的),您可以备份然后删除所有属于www-data. 备份当然应该在不同的系统上,CMS 不应该从该备份运行。您还应该清除www-data(crontab -e -u www-data) 的 crontab。如果只有用户 www-data 被感染,这应该完全从您的系统中删除感染,您可以开始在 VPS 上安装新的 CMS。如果感染继续,您应该设置一个新的 VPS 并再次进行 CMS 安装。关于
clamav:您可以尝试运行它,但它很可能无法清除感染,因此您的净收益可能为零。