本文共 2654 字，大约阅读时间需要 8 分钟。

七大常见Linux恶意软件家族及清除方法

随着时间推移，Linux系统的恶意软件事件频发，尤其是与挖矿相关的攻击呈现快速增长态势。本文将重点介绍7种常见的Linux恶意软件家族及其清除方法，帮助系统管理员及时识别和应对。

BillGates恶意软件家族

特点：2014年首次被发现，样本多变，函数中包含“gates”字符串。主要用于DDoS攻击，伪装手段包括篡改系统工具如ss、netstat、ps、lsof等。 中毒现象：

/tmp目录下存在gates.lod、moni.lod文件

/usr/bin/bsd-port/目录下存在病毒文件

主机访问域名www.id666.pw

系统文件（ss、netstat、ps、lsof）修改时间异常 清除方法：

清除/usr/bin/bsd-port/getty及.ssh等病毒进程

删除/usr/bin/bsd-port/getty、/usr/bin/.sshd等病毒文件

从/usr/bin/dpkgd/目录恢复原系统文件

DDG恶意软件家族

特点：更新频繁，感染量庞大，利用P2P协议控制僵尸网络，主要进行蠕虫式挖矿，版本迭代下文件名以ddg、i.sh命名。 中毒现象：

/tmp目录下出现ddgs.+数字的ELF文件

存在随机名文件如qW3xT、SzDXM

定时任务中下载i.sh文件 清除方法：

清除随机名挖矿进程及相关文件

删除母体文件ddg.*

删除带有i.sh字符串的定时任务

清除/root/.ssh/authorized_keys缓存公钥

SystemdMiner恶意软件家族

特点：利用YARN漏洞、Linux自动化运维工具及.ssh缓存密钥传播。前期文件命名带有“systemd”字符串，后期改为随机名，善于使用暗网代理进行C&C通信。 中毒现象：

定时访问带有tor2web、onion字符串的域名

/tmp目录下存在systemd文件（后期为随机名）

存在运行systemd-login的定时任务（后期为随机名） 清除方法：

清除/var/spool/cron及/etc/cron.d下的可疑定时任务

清除随机名挖矿进程

清除残留的systemd-login及.sh病毒脚本

StartMiner恶意软件家族

特点：2022年2月首次被发现，进程及定时任务中包含“2start.jpg”字符串，通过SSH传播，创建多个恶意定时任务。 中毒现象：

定时任务中包含“2start.jpg”字符串

/tmp目录下存在名为x86_的病毒文件

/etc/cron.d目录下存在伪装定时任务（apache、nginx、root） 清除方法：

结束挖矿进程x86_

删除所有带有“2start.jpg”字符串的定时任务

清除所有带有“2start.jpg”字符串的wget进程

WatchdogsMiner恶意软件家族

特点：2019年发现，利用Redis未授权访问漏洞及SSH爆破传播，样本由go语言编译，伪装为hippies/LSD包（github.com/hippies/LSD）。 中毒现象：

定时执行访问pastebin.com的恶意代码

/tmp目录下存在名为watchdogs的病毒文件

访问*.systemten.org域名 清除方法：

删除恶意动态链接库/usr/local/lib/libioset.so

清理crontab中的异常项

使用kill命令终止挖矿进程

清理可能残留的恶意文件：

• chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
• chkconfig watchdogs off
• rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
• 由于文件读取权限问题，需安装busybox并使用busybox rm命令删除

XorDDoS恶意软件家族

特点：从2014年至今持续存在，因样本大量使用Xor解密技术而命名。主要用于DDoS攻击，样本采用多态技术及自删除方式，隐藏C&C通信IP及端口。 中毒现象：

/lib/libudev.so文件存在

/usr/bin、/bin、/lib、/tmp目录下有随机名病毒文件

定时执行gcc.sh文件 清除方法：

清除/lib/udev/目录下的udev程序

清除/boot目录下的随机恶意文件（10个随机字符串数字）

清除/etc/cron.hourly/cron.sh及/etc/crontab定时任务相关内容

卸载可能存在的RootKit驱动模块

清除/lib/udev目录下的debug程序

RainbowMiner恶意软件家族

特点：自2019年频繁出现，C&C域名包含“Rainbow”字符串。主要特征是隐藏挖矿进程kthreadds，主机CPU占用率高但无法找到可疑进程。 中毒现象：

隐藏挖矿进程/usr/bin/kthreadds，主机CPU占用率高但看不到进程

访问Rainbow66.f3322.net恶意域名

创建ssh免密登录公钥，实现持久化攻击

存在cron.py进程持久化守护 清除方法：

下载busybox：wget http://www.busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64

使用busybox top定位并清除挖矿进程kthreadds及母体进程pdflushs

删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件

删除/etc/rc*.d/下的启动项

清除相关伪装文件：/lib64/

删除python cron.py进程

加固建议

实时监控主机状态：Linux恶意软件以挖矿为主，一旦主机被挖矿，CPU占用率会显著增加，影响业务运行。

定时任务检查：定时任务是恶意软件常用的持久化攻击手段，建议定期检查系统是否存在可疑定时任务。

ssh安全配置：企业应及时更改weak密码，并检查/root/.ssh/目录下是否存在可疑的authorized_keys缓存公钥。

漏洞防御：定期检查Web程序是否存在未授权访问漏洞，尤其是Redis等RCE漏洞。

通过以上方法，可以有效识别并清除Linux系统中的恶意软件，保障系统安全。

转载地址：http://cwxi.baihongyu.com/