Linux系統常見的病毒介紹（附解決方案）

與Windows下五花八門的勒索病毒家族不一樣，Linux下感染量較大的惡意軟件就幾個家族。但這幾個家族佔據了全球大部分的感染主機，幾乎呈現出壟斷的趨勢。本文將介紹Linux環境下7個較常見的流行惡意軟件家族，以及其對應的清除步驟。

七大惡意軟件家族

BillGates

BillGates在2014年被首次發現，因爲其樣本中多變量及函數包含字符串」gates」而得名，該病毒主要被黑客用於DDos，其特色是會替換系統正常程序（ss、netstat、ps、lsof）進行假裝

主機中毒現象：

[1] 在/tmp/目錄下存在gates.lod、moni.lod文件。

[2] 出現病毒文件夾/usr/bin/bsd-port/。

[3] 主機訪問域名www.id666.pw。

[4] 系統文件（ss、netstat、ps、lsof）被篡改過，修改時間異常。

病毒清除步驟：

[1] 清除/usr/bin/bsd-port/getty、.ssh等病毒進程。

[2] 清除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒文件。

[3] 從/usr/bin/dpkgd/目錄恢復原系統文件。

DDG

DDG是目前更新最頻繁的惡意軟件家族，同時感染量也十分龐大，黑客使用P2P協議來控制這個僵屍網絡，來實現隱藏C&C的目的，該病毒的主要目的爲蠕蟲式挖礦，特色是版本迭代過程當中，病毒文件名保持以ddg.和i.sh的規範命名。

主機中毒現象：

[1] /tmp/目錄下出現有ddgs.+數字的ELF文件。

[2] 在/tmp/目錄下存在qW3xT.和SzDXM等隨機名文件。

[3] 存在下載i.sh的定時任務。

病毒清除步驟：

[1] 清除隨機名挖礦進程及對應文件。

[2] 刪除母體文件ddg.*。

[3] 刪除帶有i.sh字符串的定時任務。

[4] 刪除ssh緩存公鑰authorized_keys。

SystemdMiner

SystemdMiner使用3種方式（YARN漏洞、Linux自動化運維工具、.ssh緩存密鑰）進行傳播，該病毒前期的文件命名帶有Systemd字符串，然後期版本已更換爲隨機名，其特色是，善用暗網代理來進行C&C通訊。

主機中毒現象：

[1] 定時訪問帶有tor2web、onion字符串的域名。

[2] 在/tmp目錄下出現systemd的文件（後期版本爲隨機名）。

[3] 存在運行systemd-login的定時任務（後期版本爲隨機名）。

病毒清除步驟：

[1] 清除/var/spool/cron和/etc/cron.d目錄下的可疑定時任務。

[2] 清除隨機名的挖礦進程。

[3] 清除殘留的systemd-login和.sh病毒腳本。

StartMiner

StartMiner於今年2月被發現，因爲其進程及定時任務中包含2start.jpg字符串而得名，該病毒經過ssh進行傳播，其特色是會建立多個包含2start.jpg字符串的惡意定時任務。

主機中毒現象：

[1] 定時任務裏有包含2start.jpg的字符串。

[2] /tmp/目錄下存在名爲x86_的病毒文件。

[3] /etc/cron.d出現多個假裝的定時任務文件：apache、nginx、root。

病毒清除步驟：

[1] 結束挖礦進程x86_。

[2] 刪除全部帶有2start.jpg字符串的定時任務。

[3] 清除全部帶有2start.jpg字符串的wget進程。

WatchdogsMiner

2019年一個一樣以Redis未受權訪問漏洞及SSH爆破傳播的WatchdogsMiner家族被發現，因爲其會在/tmp/目錄下釋放一個叫watchdogs的母體文件而得名。WatchdogsMiner的初始版本會將惡意代碼託管在pastebin.com上以繞過檢測，不事後續版本已棄用，改成本身的C&C服務器.systemten.org。該病毒的特色是樣本由go語言編譯，並試用了假裝的hippies/LSD包（github_com_hippiesLSD）。主機中毒現象：

[1]存在執行pastebin.com上惡意代碼的定時任務。

[2]/tmp/目錄下存在一個名爲watchdogs的病毒文件。

[3]訪問*.systemten.org域名。

病毒清除步驟：

[1] 刪除惡意動態連接庫 /usr/local/lib/libioset.so

[2] 清理 crontab 異常項[3] 使用kill命令終止挖礦進程

[4] 排查清理可能殘留的惡意文件：

(a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root；

(b) chkconfig watchdogs off；

(c) rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。

[5] 因爲文件只讀且相關命令被hook，須要安裝busybox並使用busybox rm命令刪除。

XorDDos

XorDDoS僵屍網絡家族從2014年一直存活至今，因其解密方法大量使用Xor而被命名爲XorDDoS，其主要用途是DDos公網主機，特色是樣本運用了「多態」及自刪除的方式，致使主機不斷出現隨機名進程，同時採用了Rootkit技術隱藏通訊IP及端口。主機中毒現象：

[1] 存在病毒文件/lib/libudev.so。

[2] 在/usr/bin，/bin，/lib，/tmp目錄下有隨機名病毒文件。

[3]存在執行gcc.sh的定時任務。

病毒清除步驟：

[1] 清除/lib/udev/目錄下的udev程序。

[2] 清除/boot下的隨機惡意文件（10個隨機字符串數字）。

[3] 清除/etc/cron.hourly/cron.sh和/etc/crontab定時器文件相關內容。

[4] 若是有RootKit驅動模塊，須要卸載相應的驅動模塊，這次惡意程序主要它來隱藏相關的網絡IP端口。

[5] 清除/lib/udev目錄下的debug程序。

RainbowMiner

RainbowMiner自2019年就頻繁出現，因爲其訪問的C&C域名帶有Rainbow字符串而得名，其最大的特色是會隱藏挖礦進程kthreadds，排查人員會發現主機CPU佔用率高，但找不到可疑進程。

主機中毒現象：

[1] 隱藏挖礦進程/usr/bin/kthreadds，主機CPU佔用率高但看不到進程。

[2] 訪問Rainbow66.f3322.net惡意域名。

[3] 建立ssh免密登陸公鑰，實現持久化攻擊。

[4] 存在cron.py進程持久化守護。

病毒清除步驟：

[1] 下載busybox：wget  http://www.busybox.net/downlo..._64。

[2] 使用busybox top定位到挖礦進程kthreadds及母體進程pdflushs，並清除。

[3] 刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件，及/etc/rc*.d/下的啓動項。

[4] 刪除/lib64/下的病毒假裝文件。

[5] 清除python cron.py進程。

加固建議

一、Linux惡意軟件以挖礦爲主，一旦主機被挖礦了，CPU佔用率高，將會影響業務，因此，須要實時監控主機CPU狀態。

二、定時任務是惡意軟件慣用的持久化攻擊技巧，應定時檢查系統是否出現可疑定時任務。

三、企業還大量存在ssh弱密碼的現象，應及時更改成複雜密碼，且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key緩存公鑰。

四、定時檢查Web程序是否存在漏洞，特別關注Redis未受權訪問等RCE漏洞。

若有錯誤或其它問題，歡迎小夥伴留言評論、指正。若有幫助，歡迎點贊+轉發分享。

歡迎你們關注民工哥的公衆號：民工哥技術之路