根据网络安全监测，近期部分校园网内服务器感染了”挖矿”木马。该木马主要通过弱口令进行传播，不仅可以进行非法“挖矿”活动，还能够进行网络攻击和数据窃取。为保护个人数据及研究数据安全，建议各位服务器管理员对系统进行全面排查。

一、排查是否感染木马

1.检查系统是否存在木马样本

检查/etc/ld.so.preload（该文件默认为空）。Linux的/etc/ld.so.preload配置，可以自定义程序运行前优先加载的动态链接库。部分木马病毒通过修改该文件，添加恶意文件，从而实现挖矿进程的隐藏等恶意功能。

清除异常的动态链接库。可以执行命令进行清除。

# mv /etc/ld.so.preload /etc/ld.so.preload.bak

执行失败可尝试

# chattr = /etc/ld.so.preload && mv /etc/ld.so.preload /etc/ld.so.preload.bak

2.检查异常进程

使用命令ps aux | grep atw或ps aux | grep ptuf查看是否存在异常进程。

3.检查异常网络链接

使用命令netstat -antp查看所有异常网络连接。查看是否存在不明IP地址和端口的连接，同时检查这些连接对应的进程名，是否为上述异常进程或其他未知进程（攻击者可能改变恶意进程名）。

4.检查系统配置文件

审查/etc/cron*目录下的配置文件，查看是否存在未授权或异常的条目。确保没有恶意脚本被设置为自启动。同时，检查~/.ssh/authorized_keys中是否存在未授权的公钥信息。

如果您的服务器存在上述特征，说明您的系统已经感染了木马。

二、处置建议

鉴于木马已获取系统root权限，简单的病毒清除可能无法完全解决问题，请先备份数据并重装操作系统，以确保系统环境的完整性和安全性，请参考以下方法进行处置。

1.清理木马样本

查找异常进程

■使用lsof定位perl Shellbot病毒进程

Shellbot病毒是perl编程，通过lsof /usr/bin/perl识别异常进程

■通过异常网络连接定位异常进程

执行“netstat -anplt”或“ss -antp”指令查看系统网络连接，是否存在异常网络连接，连接异常端口（61986、4041、3333、4444等端口）。

图：perl Shellbot病毒服务端监听61986、4041端口

图：perl Shellbot病毒客户端连接61986端口

图：挖矿特征端口3333、4444

清除异常进程

根据pid确定系统服务

#systemctl status恶意进程PID

停用服务

#systemctl stop服务名称

#kill -9恶意程序PID

停用开机启动

#systemctl disable服务名称

删除恶意程序

#rm -f恶意程序

清除异常用户

查找SSH密钥文件

#find / -name "authorized_keys"

默认“bin”用户是不具备登录权限

#cat /etc/passwd|grep bin

异常文件“/usr/sbin/nologin”实际为bash文件

#md5sum /bin/bash

#md5sum /usr/sbin/nologin

删除异常SSH密钥

#rm -f SSH密钥

恢复“/usr/sbin/nologin”

#mv /usr/sbin/nologin /usr/sbin/nologin_bak

#cp /bin/false /usr/sbin/nologin

2.备份重要数据

备份所有重要数据。注意备份时应避免包含上述木马文件，以及其他执行文件或系统文件，以防其他未知木马文件被误备份。

3.重装系统

请使用可信来源获取操作系统安装介质，重装系统后更新操作系统到最新版本，并应用所有安全补丁。

4.加固系统安全

更新并加强密码策略。系统重装后，请立即更新用户的登录密码，安装并配置防病毒软件或防火墙。请参考：https://its.pku.edu.cn/faq_ssh.jsp。

5.持续监控和审计

定期审查系统和网络日志，关注任何非授权访问及异常行为；定期使用netstat, top, htop等工具监控系统运行状态，检查是否存在异常网络连接以及进程。