挖矿病毒来势汹汹

Posted on Sun 15 September 2024 in Journal

Abstract 挖矿病毒来势汹汹
Authors Walter Fan
 Category    learning note  
Status v1.0
Updated 2024-09-15
License CC-BY-NC-ND 4.0

病毒来了, 我的个人站点使用了 wordpress, 它的不知哪个漏洞让黑客攻入了我的站点

使用 top 命令看到了有不明进程始终占据了 100% 的 CPU

virus snap1

virus snap2

通过以下命令可以知道这个进程在哪里 * sudo ls -l /proc/1118/cwd * sudo ls -l /proc/\(pid/exe * sudo cat /proc/\)pid/cmdline * sudo cat /proc/1118/environ

kill -9 $pid 没什么用, 一会儿它又起来了, 通过 'crontab -l' 也没看到有 cronjob 存在, 不过可以断定它是通过 wordpress docker 的 php 进程侵入进来了, 于是更新 docker image, 删除 9000 端口映射, 重启 docker 进程, 暂时没有再发现有可疑进程

针对挖矿病毒的开源和免费检测及防护工具有不少,需要花钱的不说, 有些开源或免费的可以尝试用来保护你的服务器:

1. ClamAV

  • 类型: 开源防病毒软件
  • 特点:
    • ClamAV 是一款跨平台的开源防病毒引擎,主要用于检测和移除多种类型的恶意软件,包括挖矿病毒。
    • 它可以集成到邮件服务器、Web服务器等系统中,用于实时监控和防护。
    • 定期更新病毒库,具有较强的可定制性。
  • 官网: ClamAV

2. Malwarebytes

  • 类型: 免费和付费版本的恶意软件清除工具
  • 特点:
    • 虽然主要功能是恶意软件检测,但它的免费版本可以扫描系统并移除挖矿病毒和恶意软件。
    • 付费版本有实时防护功能,可以防止浏览器加载挖矿脚本。
    • 易于使用,适合个人和小型企业。
  • 官网: Malwarebytes

3. NoCoin

  • 类型: 浏览器扩展
  • 特点:
    • NoCoin 是一款免费开源的浏览器扩展,旨在阻止浏览器挖矿脚本的执行。
    • 支持 Chrome、Firefox 和其他基于 Chromium 的浏览器,能够拦截常见的 JavaScript 挖矿脚本。
    • 轻量级且不影响浏览体验,是防止“浏览器挖矿”非常有效的工具。
  • GitHub: NoCoin GitHub

4. MinerBlock

  • 类型: 浏览器扩展
  • 特点:
    • MinerBlock 是另一个用于浏览器的开源扩展,类似于 NoCoin,专门防止恶意挖矿脚本在浏览器上运行。
    • 它通过阻止已知的挖矿域名和嵌入的挖矿脚本来起到防护作用。
    • 可以动态检测并阻止新的挖矿行为,不需要频繁更新列表。
  • 官网: MinerBlock

5. Chkrootkit

  • 类型: 开源 rootkit 检测工具
  • 特点:
    • Chkrootkit 是用于检测和移除 rootkit 的轻量级开源工具,可以检测隐藏的挖矿病毒及恶意软件。
    • 通过扫描系统中可疑的二进制文件和进程,它能够发现已知的恶意软件。
    • 尤其适用于 Linux 环境的挖矿病毒检测。
  • 官网: Chkrootkit

6. rkhunter (Rootkit Hunter)

  • 类型: 开源 rootkit 检测工具
  • 特点:
    • Rootkit Hunter 是一个跨平台的开源工具,专门用于检测 rootkit、后门程序以及其他恶意软件,能够帮助发现隐藏的挖矿病毒。
    • 它会检查系统中的隐藏文件、可疑权限、特洛伊木马和rootkit。
    • 支持 Linux 和 Unix 系统,适合服务器环境中的恶意挖矿检测。
  • 官网: rkhunter

7. Cudo Miner

  • 类型: 免费的挖矿管理工具(带检测功能)
  • 特点:
    • Cudo Miner 主要是一款合法的加密货币挖矿软件,但它也带有防止恶意挖矿的功能。
    • Cudo Miner 会监控系统资源使用情况,帮助用户识别是否存在其他恶意挖矿行为,从而防止不必要的资源浪费。
    • 尤其适合对加密货币挖矿感兴趣但又担心挖矿病毒的用户。
  • 官网: Cudo Miner

8. OSSEC

  • 类型: 开源入侵检测系统 (HIDS)
  • 特点:
    • OSSEC 是一款免费开源的主机入侵检测系统,能够检测系统中的可疑活动,包括恶意挖矿行为。
    • 它可以通过日志分析、文件完整性检查、rootkit 检测等方式,实时监控并发出告警。
    • 适用于复杂的服务器和企业网络环境。
  • 官网: OSSEC

9. Sophos Home Free

  • 类型: 免费防病毒和防恶意软件工具
  • 特点:
    • Sophos 提供一个免费版本的家庭用户防护工具,可以帮助用户检测和阻止挖矿病毒及其他恶意软件。
    • 具有基于云的防护功能,能够阻止来自互联网的恶意脚本和网络威胁。
  • 官网: Sophos Home Free

本作品采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可。