如需了解“美国服务器常见病毒的解决方案”等有关服务器、云主机租用、虚拟主机、配置、价格问题、请咨询专属客服或者微信:zhstwkj 获取更多帮助和新优惠!
会有一些常见的网络病毒,其传播和攻击入侵的方式各不相同,小编就来介绍下部分美国服务器常见的病毒的解决方案,以及系统安全加固的一些建议。
一、Systemd Miner病毒
Systemd Miner会使用3种方式进行在里传播:YARN漏洞、自动化运维工具以及SSH缓存密钥,该病毒早起版本的文件命名是带有Systemd字符串,而后期版本更换为随机名。
特点:
1、善用暗网代理来进行C&C通信。
2、通过bash命令下载执行多个模块。
3、通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散。
4、文件下载均利用暗网代理,感染后会清除上其他木马,以达到资源独占的目的。
系统中毒现象:
定时访问带有tor2web、onion字符串的域名 在/tmp目录下出现systemd的文件,后期版本为随机名 存在运行systemd-login的定时任务,后期版本为随机名
解决方案:
1、清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。
2、清除随机名的进程。
3、清除系统残留的systemd-login和病毒脚本。
二、Xor DDoS病毒
Xor DDoS样本运用多态及自删除的方式,主要用途是攻击公网,导致公网不断出现随机名进程,并采用Rootkit技术隐藏通信IP及端口。
系统中毒现象:
存在/lib/libudev.so病毒文件 在/usr/bin,/bin,/lib,/tmp目录下随机名的病毒文件 存在执行gcc.sh的定时任务
解决方案:
1、清除/lib/udev/目录下的udev程序。
2、清除美国服务器/boot目录下的随机恶意文件,为10个随机字符串数字。
3、清除/etc/cron.hourly/cron.sh和/etc/crontab定时器文件相关内容。
4、如果有RootKit驱动模块,需要卸载相应的驱动模块,此次恶意程序主要使用它来隐藏相关的网络IP端口。
5、清除/lib/udev目录下的debug程序。
¥999 ¥1199
三、Watchdogs Miner病毒
Watchdogs Miner可通过SSH爆破,使用的Shell脚本编写下载器,通过wget和curl命令下【游戏组件dota2.tar.gz】,实则是脚本组件,里面包含了查杀其他木马的脚本,还有针对不同的系统对应的木马。Watchdogs Miner病毒的特点是样本由go语言编译,并试用伪装的hippies或LSD包。
中毒现象:
存在执行pastebin.com上恶意代码的定时任务 /tmp/目录下存在一个名为watchdogs的病毒文件 访问systemten.org域名
解决方案:
1、删除上恶意动态链接库 /usr/local/lib/libioset.so。
2、 crontab 异常项[3],使用kill命令终止进程。
3、排查清理可能残留的恶意文件:
chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root chkconfig watchdogs off rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
4、由于部分文件只读且相关命令被hook,需要安装busy box并使用busy box rm命令来进行删除。
四、Start Miner病毒
Start Miner病毒通过SSH进行传播,其主要特点是会在上创建多个包含2start.jpg字符串的恶意定时任务。Start Miner病毒通过SSH传播新型的Linux木马,该木马通过在上创建多个定时任务、多个路径释放功能模块的方式进行驻留,并存在SSH暴力破解模块,下载并运行开源程序。
系统中毒现象:
定时任务里有包含2start.jpg的字符串 /tmp/目录下存在名为x86_的病毒文件 /etc/cron.d目录下出现多个伪装的定时任务文件
解决方案:
1、结束进程x86_。
2、删除所有带有2start.jpg字符串的定时任务和所有带有2start.jpg字符串的wget进程。
五、Rainbow Miner病毒
Rainbow Miner病毒最大的特点是会隐藏进程kthreadds,管理人员会发现CPU占用率高,却没有发现可疑进程,这是因为Rainbow Miner病毒采用了多种方式进行隐藏及持久化攻击。
系统中毒现象:
隐藏进程/usr/bin/kthreadds, CPU占用率高却看不到进程 会访问恶意域名 会创建SSH免密登录公钥,实现持久化攻击 存在cron.py进程
解决方案:
1、下载busy box,使用busy box top定位到进程kthreadds及母体进程pdflushs,并进行清除。
2、删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的启动项,同时删除/lib64/下的病毒伪装文件。
3、清除的python cron.py进程。
美国服务器系统安全加固建议:
1、恶意软件一般以为主,一旦被了,CPU的占用率会非常高,因此管理人员需要实时监控美国服务器的CPU状态。
2、定时任务是美国服务器恶意软件常见的攻击方式,所以管理人员需要定时检查系统是否有出现可疑的定时任务。
3、避免存在SSH弱密码的现象,需要更改为复杂密码,且检查在/root/.ssh/目录下是否有存在可疑的authorized_key缓存公钥。
4、管理人员需要定时检查Web程序是否有存在漏洞,特别关注Redis未授权访问等RCE漏洞。
以上内容就是一些美国服务器常见的病毒解决方案的介绍,以及一些系统安全的加固建议分享,希望能帮助到有需要的美国服务器用户们。
现在合作的的所有配置都免费赠送值 ,可以有效防护网站的安全,以下是部分配置介绍:
CPU | 内存 | 硬盘 | 带宽 | IP | 价格 | 防御 |
E3-1230v3 | 16GB | 500GB SSD | 1G无限 | 1个IP | 900/月 | 免费赠送1800Gbps DDoS防御 |
E3-1270v2 | 32GB | 500GB SSD | 1G无限流量 | 1个IP | 1250/月 | 免费赠送1800Gbps DDoS防御 |
E3-1275v5 | 32GB | 500GB SSD | 1G无限流量 | 1个IP | 1350/月 | 免费赠送1800Gbps DDoS防御 |
Dual E5-2630L | 32GB | 500GB SSD | 1G无限流量 | 1个IP | 1450/月 | 免费赠送1800Gbps DDoS防御 |
已与全球多个国家的顶级数据中心达成战略合作关系,为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、行业等企业客户等提供一站式安全解决方案。持续关注,获取更多IDC资讯!
【文章声明】
本站发布的美国服务器常见病毒的解决方案内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场
如果涉及侵权请联QQ:712375056进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
Copyright © 2009-2024 56dr.com. All Rights Reserved. 特网科技 特网云 版权所有 珠海市特网科技有限公司 粤ICP备16109289号
域名注册服务机构:阿里云计算有限公司(万网) 域名服务机构:烟台帝思普网络科技有限公司(DNSPod) CDN服务:阿里云计算有限公司 百度云 中国互联网举报中心 增值电信业务经营许可证B2
建议您使用Chrome、Firefox、Edge、IE10及以上版本和360等主流浏览器浏览本网站