如需了解“美国服务器常见病毒的解决方案”等有关服务器、云主机租用、虚拟主机、配置、价格问题、请咨询专属客服或者微信:zhstwkj 获取更多帮助和新优惠！

会有一些常见的网络病毒，其传播和攻击入侵的方式各不相同，小编就来介绍下部分美国服务器常见的病毒的解决方案，以及系统安全加固的一些建议。

一、Systemd Miner病毒

Systemd Miner会使用3种方式进行在里传播：YARN漏洞、自动化运维工具以及SSH缓存密钥，该病毒早起版本的文件命名是带有Systemd字符串，而后期版本更换为随机名。

特点：

1、善用暗网代理来进行C&C通信。

2、通过bash命令下载执行多个模块。

3、通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散。

4、文件下载均利用暗网代理，感染后会清除上其他木马，以达到资源独占的目的。

系统中毒现象：

定时访问带有tor2web、onion字符串的域名
在/tmp目录下出现systemd的文件，后期版本为随机名
存在运行systemd-login的定时任务，后期版本为随机名

解决方案：

1、清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。

2、清除随机名的进程。

3、清除系统残留的systemd-login和病毒脚本。

二、Xor DDoS病毒

Xor DDoS样本运用多态及自删除的方式，主要用途是攻击公网，导致公网不断出现随机名进程，并采用Rootkit技术隐藏通信IP及端口。

系统中毒现象：

存在/lib/libudev.so病毒文件
在/usr/bin，/bin，/lib，/tmp目录下随机名的病毒文件
存在执行gcc.sh的定时任务

解决方案：

1、清除/lib/udev/目录下的udev程序。

2、清除美国服务器/boot目录下的随机恶意文件，为10个随机字符串数字。

3、清除/etc/cron.hourly/cron.sh和/etc/crontab定时器文件相关内容。

4、如果有RootKit驱动模块，需要卸载相应的驱动模块，此次恶意程序主要使用它来隐藏相关的网络IP端口。

5、清除/lib/udev目录下的debug程序。

[出售]

￥999   ￥1199

• 库存：9.9k
• 已售：121
• 人气：923

三、Watchdogs Miner病毒

Watchdogs Miner可通过SSH爆破，使用的Shell脚本编写下载器，通过wget和curl命令下【游戏组件dota2.tar.gz】，实则是脚本组件，里面包含了查杀其他木马的脚本，还有针对不同的系统对应的木马。Watchdogs Miner病毒的特点是样本由go语言编译，并试用伪装的hippies或LSD包。

中毒现象：

存在执行pastebin.com上恶意代码的定时任务
/tmp/目录下存在一个名为watchdogs的病毒文件
访问systemten.org域名

解决方案：

1、删除上恶意动态链接库 /usr/local/lib/libioset.so。

2、 crontab 异常项[3]，使用kill命令终止进程。

3、排查清理可能残留的恶意文件：

chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
chkconfig watchdogs off
rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

4、由于部分文件只读且相关命令被hook，需要安装busy box并使用busy box rm命令来进行删除。

四、Start Miner病毒

Start Miner病毒通过SSH进行传播，其主要特点是会在上创建多个包含2start.jpg字符串的恶意定时任务。Start Miner病毒通过SSH传播新型的Linux木马，该木马通过在上创建多个定时任务、多个路径释放功能模块的方式进行驻留，并存在SSH暴力破解模块，下载并运行开源程序。

系统中毒现象：

定时任务里有包含2start.jpg的字符串
/tmp/目录下存在名为x86_的病毒文件
/etc/cron.d目录下出现多个伪装的定时任务文件

解决方案：

1、结束进程x86_。

2、删除所有带有2start.jpg字符串的定时任务和所有带有2start.jpg字符串的wget进程。

五、Rainbow Miner病毒

Rainbow Miner病毒最大的特点是会隐藏进程kthreadds，管理人员会发现CPU占用率高，却没有发现可疑进程，这是因为Rainbow Miner病毒采用了多种方式进行隐藏及持久化攻击。

系统中毒现象：

隐藏进程/usr/bin/kthreadds， CPU占用率高却看不到进程
会访问恶意域名
会创建SSH免密登录公钥，实现持久化攻击
存在cron.py进程

解决方案：

1、下载busy box，使用busy box top定位到进程kthreadds及母体进程pdflushs，并进行清除。

2、删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件，及/etc/rc*.d/下的启动项，同时删除/lib64/下的病毒伪装文件。

3、清除的python cron.py进程。

美国服务器系统安全加固建议：

1、恶意软件一般以为主，一旦被了，CPU的占用率会非常高，因此管理人员需要实时监控美国服务器的CPU状态。

2、定时任务是美国服务器恶意软件常见的攻击方式，所以管理人员需要定时检查系统是否有出现可疑的定时任务。

3、避免存在SSH弱密码的现象，需要更改为复杂密码，且检查在/root/.ssh/目录下是否有存在可疑的authorized_key缓存公钥。

4、管理人员需要定时检查Web程序是否有存在漏洞，特别关注Redis未授权访问等RCE漏洞。

以上内容就是一些美国服务器常见的病毒解决方案的介绍，以及一些系统安全的加固建议分享，希望能帮助到有需要的美国服务器用户们。

现在合作的的所有配置都免费赠送值 ，可以有效防护网站的安全，以下是部分配置介绍：

已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、行业等企业客户等提供一站式安全解决方案。持续关注，获取更多IDC资讯！

【文章声明】

本站发布的美国服务器常见病毒的解决方案内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场

如果涉及侵权请联QQ:712375056进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。