2023年7月6日发(作者：)

Linux系统常见的病毒介绍（附解决⽅案）Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesBillGates在2014年被⾸次发现，由于其样本中多变量及函数包含字符串”gates”⽽得名，该病毒主要被⿊客⽤于DDos，其特点是会替换系统正常程序（ss、netstat、ps、lsof）进⾏伪装主机中毒现象：[1] 在/tmp/⽬录下存在、⽂件。[2] 出现病毒⽂件夹/usr/bin/bsd-port/。[3] 主机访问域名。[4] 系统⽂件（ss、netstat、ps、lsof）被篡改过，修改时间异常。病毒清除步骤：[1] 清除/usr/bin/bsd-port/getty、.ssh等病毒进程。[2] 清除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒⽂件。[3] 从/usr/bin/dpkgd/⽬录恢复原系统⽂件。DDGDDG是⽬前更新最频繁的恶意软件家族，同时感染量也⼗分庞⼤，⿊客使⽤P2P协议来控制这个僵⼫⽹络，来实现隐藏C&C的⽬的，该病毒的主要⽬的为蠕⾍式挖矿，特点是版本迭代过程中，病毒⽂件名保持以ddg.和的规范命名。主机中毒现象：[1] /tmp/⽬录下出现有ddgs.+数字的ELF⽂件。[2] 在/tmp/⽬录下存在qW3xT.和SzDXM等随机名⽂件。[3] 存在下载的定时任务。病毒清除步骤：[1] 清除随机名挖矿进程及对应⽂件。[2] 删除母体⽂件ddg.*。[3] 删除带有字符串的定时任务。[4] 删除ssh缓存公钥authorized_keys。SystemdMinerSystemdMiner使⽤3种⽅式（YARN漏洞、Linux⾃动化运维⼯具、.ssh缓存密钥）进⾏传播，该病毒前期的⽂件命名带有Systemd字符串，⽽后期版本已更换为随机名，其特点是，善⽤暗⽹代理来进⾏C&C通信。主机中毒现象：[1] 定时访问带有tor2web、onion字符串的域名。[2] 在/tmp⽬录下出现systemd的⽂件（后期版本为随机名）。[3] 存在运⾏systemd-login的定时任务（后期版本为随机名）。病毒清除步骤：[1] 清除/var/spool/cron和/etc/cron.d⽬录下的可疑定时任务。[2] 清除随机名的挖矿进程。[3] 清除残留的systemd-login和.sh病毒脚本。StartMinerStartMiner于今年2⽉被发现，由于其进程及定时任务中包含字符串⽽得名，该病毒通过ssh进⾏传播，其特点是会创建多个包含字符串的恶意定时任务。主机中毒现象：[1] 定时任务⾥有包含的字符串。[2] /tmp/⽬录下存在名为x86_的病毒⽂件。[3] /etc/cron.d出现多个伪装的定时任务⽂件：apache、nginx、root。病毒清除步骤：[1] 结束挖矿进程x86_。[2] 删除所有带有字符串的定时任务。[3] 清除所有带有字符串的wget进程。WatchdogsMiner2019年⼀个同样以Redis未授权访问漏洞及SSH爆破传播的WatchdogsMiner家族被发现，由于其会在/tmp/⽬录下释放⼀个叫watchdogs的母体⽂件⽽得名。WatchdogsMiner的初始版本会将恶意代码托管在上以绕过检测，不过后续版本已弃⽤，改为⾃⼰的C&C服务器.。该病毒的特点是样本由go语⾔编译，并试⽤了伪装的hippies/LSD包（github_com_hippiesLSD）。主机中毒现象：[1]存在执⾏上恶意代码的定时任务。[2]/tmp/⽬录下存在⼀个名为watchdogs的病毒⽂件。[3]访问*.域名。病毒清除步骤：[1] 删除恶意动态链接库 /usr/local/lib/[2] 清理 crontab 异常项[3] 使⽤kill命令终⽌挖矿进程[4] 排查清理可能残留的恶意⽂件：(a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root；(b) chkconfig watchdogs off；© rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。[5] 由于⽂件只读且相关命令被hook，需要安装busybox并使⽤busybox rm命令删除。XorDDosXorDDoS僵⼫⽹络家族从2014年⼀直存活⾄今，因其解密⽅法⼤量使⽤Xor⽽被命名为XorDDoS，其主要⽤途是DDos公⽹主机，特点是样本运⽤了“多态”及⾃删除的⽅式，导致主机不断出现随机名进程，同时采⽤了Rootkit技术隐藏通信IP及端⼝。主机中毒现象：[1] 存在病毒⽂件/lib/。[2] 在/usr/bin，/bin，/lib，/tmp⽬录下有随机名病毒⽂件。[3]存在执⾏的定时任务。病毒清除步骤：[1] 清除/lib/udev/⽬录下的udev程序。[2] 清除/boot下的随机恶意⽂件（10个随机字符串数字）。[3] 清除/etc//和/etc/crontab定时器⽂件相关内容。[4] 如果有RootKit驱动模块，需要卸载相应的驱动模块，此次恶意程序主要它来隐藏相关的⽹络IP端⼝。[5] 清除/lib/udev⽬录下的debug程序。RainbowMinerRainbowMiner⾃2019年就频繁出现，由于其访问的C&C域名带有Rainbow字符串⽽得名，其最⼤的特点是会隐藏挖矿进程kthreadds，排查⼈员会发现主机CPU占⽤率⾼，但找不到可疑进程。主机中毒现象：[1] 隐藏挖矿进程/usr/bin/kthreadds，主机CPU占⽤率⾼但看不到进程。[2] 访问恶意域名。[3] 创建ssh免密登录公钥，实现持久化攻击。[4] 存在进程持久化守护。病毒清除步骤：[3] 删除/usr/bin/kthreadds及/etc/init.d/pdflushs⽂件，及/etc/rc*.d/下的启动项。[4] 删除/lib64/下的病毒伪装⽂件。[5] 清除python 进程。加固建议1、Linux恶意软件以挖矿为主，⼀旦主机被挖矿了，CPU占⽤率⾼，将会影响业务，所以，需要实时监控主机CPU状态。2、定时任务是恶意软件惯⽤的持久化攻击技巧，应定时检查系统是否出现可疑定时任务。3、企业还⼤量存在ssh弱密码的现象，应及时更改为复杂密码，且检查在/root/.ssh/⽬录下是否存在可疑的authorized_key缓存公钥。4、定时检查Web程序是否存在漏洞，特别关注Redis未授权访问等RCE漏洞。