美國網(wǎng)站服務(wù)器會有一些常見的病毒，傳播以及攻擊入侵的方式各不相同，今天美聯(lián)科技小編就來介紹下部分美國網(wǎng)站服務(wù)器常見的病毒以及解決方案和一些美國網(wǎng)站服務(wù)器安全加固的建議。

1、Systemd Miner

Systemd Miner會使用3種方式進行在美國網(wǎng)站服務(wù)器里傳播：YARN漏洞、自動化運維工具以及SSH緩存密鑰，該病毒早起版本的文件命名是帶有Systemd字符串，而后期版本更換為隨機名。

特點：

1、善用暗網(wǎng)代理來進行C&C通信

2、通過bash命令下載執(zhí)行多個功能模塊

3、通過SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權(quán)訪問漏洞和自動化運維工具內(nèi)網(wǎng)擴散

4、文件下載均利用暗網(wǎng)代理，感染后會清除美國網(wǎng)站服務(wù)器上其他挖礦木馬，以達到資源獨占的目的。

美國網(wǎng)站服務(wù)器中毒現(xiàn)象：

1、定時訪問帶有tor2web、onion字符串的域名。

2、在/tmp目錄下出現(xiàn)systemd的文件，后期版本為隨機名。

3、存在運行systemd-login的定時任務(wù)，后期版本為隨機名。

解決方案：

1、清除美國網(wǎng)站服務(wù)器/var/spool/cron和/etc/cron.d目錄下的可疑定時任務(wù)。

2、清除美國網(wǎng)站服務(wù)器隨機名的挖礦進程。

3、清除殘留的systemd-login和病毒腳本。

2、Xor DDoS

Xor DDoS樣本運用多態(tài)及自刪除的方式，主要用途是攻擊公網(wǎng)，導致公網(wǎng)美國網(wǎng)站服務(wù)器不斷出現(xiàn)隨機名進程，并采用Rootkit技術(shù)隱藏通信IP及端口。

美國網(wǎng)站服務(wù)器中毒現(xiàn)象：

1、存在/lib/libudev.so病毒文件

2、在/usr/bin，/bin，/lib，/tmp目錄下隨機名的病毒文件。

3、存在執(zhí)行g(shù)cc.sh的定時任務(wù)。

解決方案：

1、清除美國網(wǎng)站服務(wù)器/lib/udev/目錄下的udev程序。

2、清除美國網(wǎng)站服務(wù)器/boot目錄下的隨機惡意文件，為10個隨機字符串數(shù)字。

3、清除美國網(wǎng)站服務(wù)器/etc/cron.hourly/cron.sh和/etc/crontab定時器文件相關(guān)內(nèi)容。

4、如果有RootKit驅(qū)動模塊，需要卸載美國網(wǎng)站服務(wù)器相應(yīng)的驅(qū)動模塊，此次惡意程序主要使用它來隱藏相關(guān)的網(wǎng)絡(luò)IP端口。

5、清除美國網(wǎng)站服務(wù)器/lib/udev目錄下的debug程序。

3、Watchdogs Miner

Watchdogs Miner可通過SSH爆破，使用美國網(wǎng)站服務(wù)器的Shell腳本編寫下載器，通過wget和curl命令下【游戲組件dota2.tar.gz】，實則是挖礦腳本組件，里面包含了查殺其他挖礦木馬的腳本，還有針對不同美國網(wǎng)站服務(wù)器的系統(tǒng)對應(yīng)的挖礦木馬。Watchdogs Miner病毒的特點是樣本由go語言編譯，并試用偽裝的hippies或LSD包。

美國網(wǎng)站服務(wù)器中毒現(xiàn)象：

1、存在執(zhí)行pastebin.com上惡意代碼的定時任務(wù)

2、/tmp/目錄下存在一個名為watchdogs的病毒文件

3、訪問systemten.org域名

解決方案：

1、刪除美國網(wǎng)站服務(wù)器上惡意動態(tài)鏈接庫 /usr/local/lib/libioset.so

2、清理 crontab 異常項[3]，使用kill命令終止挖礦進程

3、排查清理美國網(wǎng)站服務(wù)器可能殘留的惡意文件：

A） chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

B）chkconfig watchdogs off

C）rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

4、由于文件只讀且相關(guān)命令被hook，需要安裝busy box并使用busy box rm命令刪除。

4、Start Miner病毒

Start Miner病毒通過SSH進行傳播，其主要特點是會在美國網(wǎng)站服務(wù)器上創(chuàng)建多個包含2start.jpg字符串的惡意定時任務(wù)。Start Miner病毒通過SSH傳播新型的Linux挖礦木馬，該木馬通過在美國網(wǎng)站服務(wù)器上創(chuàng)建多個定時任務(wù)、多個路徑釋放功能模塊的方式進行駐留，并存在SSH暴力破解模塊，下載并運行開源挖礦程序。

美國網(wǎng)站服務(wù)器中毒現(xiàn)象：

1、美國網(wǎng)站服務(wù)器定時任務(wù)里有包含2start.jpg的字符串

2、美國網(wǎng)站服務(wù)器/tmp/目錄下存在名為x86_的病毒文件

3、美國網(wǎng)站服務(wù)器/etc/cron.d目錄下出現(xiàn)多個偽裝的定時任務(wù)文件：apache、nginx、root

解決方案：

1、美國網(wǎng)站服務(wù)器結(jié)束挖礦進程x86_

2、刪除美國網(wǎng)站服務(wù)器所有帶有2start.jpg字符串的定時任務(wù)

3、清除美國網(wǎng)站服務(wù)器所有帶有2start.jpg字符串的wget進程

5、Rainbow Miner病毒

Rainbow Miner病毒最大的特點是會隱藏挖礦進程kthreadds，美國網(wǎng)站服務(wù)器管理人員會發(fā)現(xiàn)美國網(wǎng)站服務(wù)器CPU占用率高，卻沒有發(fā)現(xiàn)可疑進程，是有因為Rainbow Miner病毒采用了多種方式進行隱藏及持久化攻擊。

美國網(wǎng)站服務(wù)器中毒現(xiàn)象：

1、隱藏挖礦進程/usr/bin/kthreadds，美國網(wǎng)站服務(wù)器CPU占用率高卻看不到進程

2、美國網(wǎng)站服務(wù)器會訪問Rainbow66.f3322.net惡意域名

3、會創(chuàng)建SSH免密登錄公鑰，實現(xiàn)持久化攻擊

4、美國網(wǎng)站服務(wù)器存在cron.py進程

解決方案：

1、美國網(wǎng)站服務(wù)器下載busy box，使用busy box top定位到挖礦進程kthreadds及母體進程pdflushs，并進行清除

2、美國網(wǎng)站服務(wù)器刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件，及/etc/rc*.d/下的啟動項

3、美國網(wǎng)站服務(wù)器刪除/lib64/下的病毒偽裝文件

4、清除美國服務(wù)費去python cron.py進程

6、系統(tǒng)安全加固建議

1、美國網(wǎng)站服務(wù)器的惡意軟件一般以挖礦為主，一旦美國網(wǎng)站服務(wù)器被挖礦了，CPU的占用率會非常高，因此美國網(wǎng)站服務(wù)器管理人員需要實時監(jiān)控美國網(wǎng)站服務(wù)器的CPU狀態(tài)。

2、定時任務(wù)是美國服務(wù)群Linux系統(tǒng)惡意軟件常見的攻擊方式，所以美國網(wǎng)站服務(wù)器管理人員需要定時檢查系統(tǒng)是否有出現(xiàn)可疑的定時任務(wù)。

3、美國網(wǎng)站服務(wù)器避免存在SSH弱密碼的現(xiàn)象，需要更改為復(fù)雜密碼，且檢查在美國網(wǎng)站服務(wù)器/root/.ssh/目錄下是否有存在可疑的authorized_key緩存公鑰。

4、美國網(wǎng)站服務(wù)器管理人員需要定時檢查Web程序是否有存在漏洞，特別關(guān)注Redis未授權(quán)訪問等RCE漏洞。

以上就是另外一些美國網(wǎng)站服務(wù)器常見的病毒介紹，以及一些美國網(wǎng)站服務(wù)器安全的加固建議，希望能幫助到有需要的美國網(wǎng)站服務(wù)器用戶。

美聯(lián)科技是美國網(wǎng)站服務(wù)器優(yōu)質(zhì)的提供商之一，專業(yè)提供服務(wù)器托管及租用業(yè)務(wù)，其中包括美國站群服務(wù)器租用、美國高防服務(wù)器租用、美國不限流量租用、美國VPS租用、美國虛擬空間租用等。專注IDC業(yè)務(wù)十六年，竭誠為廣大客戶提供更優(yōu)質(zhì)更貼心的服務(wù)。

美聯(lián)科技提供各種美國網(wǎng)站服務(wù)器的解決方案，對于有建站需求的用戶提供了更多的選擇，對于有高防需求的用戶也提供了很多解決方案，現(xiàn)在美聯(lián)科技合作的美國VM機房到美國網(wǎng)站服務(wù)器所有配置都免費贈送防御值 ，可以有效防護美國網(wǎng)站服務(wù)器的安全，需要了解更多詳情的用戶，歡迎移步到美聯(lián)科技官網(wǎng)：美國VM機房，或者聯(lián)系美聯(lián)科技客戶經(jīng)理QQ：22652082，進行咨詢了解。

美聯(lián)科技已與全球多個國家的頂級數(shù)據(jù)中心達成戰(zhàn)略合作關(guān)系，為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注美聯(lián)科技官網(wǎng)，獲取更多有用內(nèi)容，了解更多IDC資訊！