前阶段生产服务器又中挖矿病毒了，紧急处理了一波

现象

执行 top命令，查看哪里cpu占用较高

CPU 彪满下不来

解决

1、杀掉进程 kill -9 pid

2、但是，过一会又不行了，说明有定时任务在定时执行这个病毒

3、先找到病毒文件，删掉

find / -name "xmrig"

4、删掉c3poo整个文件夹

cd /home/tomcat

rm -rf c3pool

5、全局再找找还有没有 find / -name c3pool/

6、检查隐藏文件和目录，避免漏网之鱼

# 这些可能是病毒的一部分
find / -name ".*" -print

还没完

一会，又回来了。 以上操作只是把病毒文件删了，但是任务还没删，一会还会回来

1、检查定时任务

# 查看当前用户的cron任务
crontab -l# 检查cron服务的状态
systemctl status cron
# 或者老系统执行
service cron status# 查看 cron 日志
cat /var/log/cron

现象：

crontab -l 发现没有定时任务，状态也正常

但是，cron 日志却一直有任务，说明被隐藏了

继续放大招

检查所有用户的Crontab任务

即使您已经检查了当前用户的cron任务，病毒也可能在其他用户的cron任务中设置了定时执行。使用以下命令来查看系统上所有用户的cron任务：

for user in $(getent passwd | cut -f1 -d:); do echo $user; crontab -u $user -l; done

卧槽你妈，真 TM 有，藏得够深

解决

1、删除cron任务：

# 删除用户 tomcat 的cron任务，这些任务负责重新下载和运行xmrig挖矿脚本。
crontab -u tomcat -r

2、删除下载的脚本和相关文件

根据crontab中的输出，需要删除以下文件：

定时下载的脚本：这通常位于 /tmp 目录下，可能需要根据实际文件名进行搜索。

/home/tomcat/.ssh/miner.sh：这是系统启动时运行的脚本。

rm -f /tmp/*setup_c3pool_miner.sh
rm -f /home/tomcat/.ssh/miner.sh

如果出现无法删除文件的报错

# 先解锁下文件再删除下
chattr -ia 文件名rm -r 文件名

其他

• 如果杀不掉 PID，可查找进程数杀父进程开始： pstree -p | grep 6386

Linux 主机安全加固

如下是华为云工单提供的解决方案

1. 设置所有OS系统口令（包括管理员和普通用户）、数据库账号口令、应用（WEB）系统管理账号口令为强口令，密码12位以上；将主机登录方式改为秘钥登录彻底规避风险：

• • 强口令设置要求参照：账户密码最佳实践-云社区-华为云
  • 秘钥登录设置参照：云主机密码被暴力破解是云租户安全的头号敌人？小编带你来解-云社区-华为云

1. 严格控制系统管理员账户的使用范围，为应用和中间件配置各自的权限和并严格控制使用范围。

禁止不必要的端口直接暴露在公网，设置防火墙规则或配置安全组策略来禁止端口开放情况；非公共开放的业务端口（如SSH），建议设置只允许特定的IP进行连接；安全组配置示例链接如下：安全组配置示例_虚拟私有云 VPC_华为云

1. 启动安全组白名单策略，根据业务需求对外开放端口，对于特殊业务端口，建议设置固定的来源IP（如：远程登录）或使用VPN、堡垒机建立自己的运维通道。
2. 建议定期做好数据备份（虚拟机内部备份，异地备份，云上云下备份等），避免被加密勒索；
3. 定期检查系统和软件中的安全漏洞，及时打上补丁
4. HSS 主要是对您的主机异常行为以及主机内存在的漏洞进行检测告警，并且hss支持隔离查杀，这个需要您自行开启下

开启恶意程序隔离查杀_企业主机安全 HSS_华为云

1. xxl----job做好加固。

主机已确认被入侵，系统已变的不可信任！为安全起见，建议备份数据，择机重装系统，给所有账户及应用设置强密码，在安全组里对端口做限制（如：22等）。

xxl-job加固

XXL-JOB未授权访问漏洞预警-华为云

最后建议

1、开启主机防护吧，多花点钱，解决大问题

2、设置 ip 白名单吧

3、更改一下 ssh 的默认 22 端口吧

4、配置 RSA 秘钥吧

5、更改一下密码吧

6、限制一下 root 账户登录吧