??????? 美國Linux服務器系統會被一些常見的病毒所影響，不過不同的病毒類型，其在美國Linux服務器中的傳播以及攻擊入侵的方式各不相同，本文小編就來介紹美國Linux服務器系統常見病毒的解決方案。

??????? 一、Systemd Miner病毒

??????? Systemd Miner會使用3種方式進行在美國Linux服務器系統里傳播：YARN漏洞、Linux自動化運維工具以及ssh緩存密鑰，該病毒早期版本的文件命名是帶有Systemd字符串，而后期版本更換為隨機名。

??????? 特點：

??????? 1、善用暗網代理來進行美國Linux服務器C&C通信。

??????? 2、通過bash命令下載執行多個功能模塊。

??????? 3、通過SSH暴力破解、SSH免密登錄利用、Hadoop Yarn未授權訪問漏洞和自動化運維工具內網擴散

??????? 4、文件下載均利用暗網代理，感染后會清除美國Linux服務器上其他挖礦木馬，以達到資源獨占的目的。

??????? 系統中毒現象：

定時訪問帶有tor2web、onion字符串的域名。
在/tmp目錄下出現systemd的文件，后期版本為隨機名。
存在運行systemd-login的定時任務，后期版本為隨機名。

??????? 解決方案：

??????? 1、清除美國Linux服務器系統里/var/spool/cron和/etc/cron.d目錄下的可疑定時任務。

??????? 2、清除系統隨機名的挖礦進程。

??????? 3、清除美國Linux服務器上殘留的systemd-login和病毒腳本。

??????? 二、Xor DDoS病毒

??????? Xor DDoS樣本運用多態及自刪除的方式，主要用途是攻擊公網美國Linux服務器系統，導致美國Linux服務器不斷出現隨機名進程，并采用Rootkit技術隱藏通信IP及端口。

??????? 系統中毒現象：

存在/lib/libudev.so病毒文件。
在/usr/bin，/bin，/lib，/tmp目錄下隨機名的病毒文件。
存在執行gcc.sh的定時任務。

??????? 解決方案：

??????? 1、清除/lib/udev/目錄下的udev程序。

??????? 2、清除美國Linux服務器/boot目錄下的隨機惡意文件，為10個隨機字符串數字。

??????? 3、清除/etc/cron.hourly/cron.sh和/etc/crontab定時器文件相關內容。

??????? 4、如果有RootKit驅動模塊，需要卸載美國Linux服務器相應的驅動模塊，此次惡意程序主要使用它來隱藏相關的網絡IP端口。

??????? 5、清除美國Linux服務器/lib/udev目錄下的debug程序。

??????? 三、Watchdogs Miner病毒

??????? Watchdogs Miner可通過SSH爆破，使用美國Linux服務器系統的Shell腳本編寫下載器，通過wget和curl命令下【游戲組件dota2.tar.gz】，實則是挖礦腳本組件，里面包含了查殺其他挖礦木馬的腳本，還有針對不同系統對應的挖礦木馬。Watchdogs Miner病毒的特點是樣本由go語言編譯，并試用偽裝的hippies或LSD包。

??????? 系統中毒現象：

存在執行pastebin.com上惡意代碼的定時任務。
/tmp/目錄下存在一個名為watchdogs的病毒文件。
訪問systemten.org域名。

??????? 解決方案：

??????? 1、刪除美國Linux服務器系統上惡意動態鏈接庫 /usr/local/lib/libioset.so

??????? 2、清理 crontab 異常項[3]，使用kill命令終止挖礦進程

??????? 3、排查清理美國Linux服務器系統可能殘留的惡意文件：

chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
chkconfig watchdogs off
rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

??????? 4、由于文件只讀且相關命令被hook，美國Linux服務器需要安裝busy box并使用busy box rm命令刪除。

??????? 四、Start Miner病毒

??????? Start Miner病毒通過SSH進行傳播，其主要特點是會在美國Linux服務器系統上創建多個包含2start.jpg字符串的惡意定時任務。Start Miner病毒通過SSH傳播新型的Linux挖礦木馬，該木馬通過在美國Linux服務器上創建多個定時任務、多個路徑釋放功能模塊的方式進行駐留，并存在SSH暴力破解模塊，下載并運行開源挖礦程序。

??????? 系統中毒現象：

定時任務里有包含2start.jpg的字符串。
/tmp/目錄下存在名為x86_的病毒文件。
器/etc/cron.d目錄下出現多個偽裝的定時任務文件：apache、nginx、root。

??????? 解決方案：

??????? 1、結束美國Linux服務器上的挖礦進程x86_。

??????? 2、刪除所有帶有2start.jpg字符串的定時任務。

??????? 3、清除美國Linux服務器所有帶有2start.jpg字符串的wget進程。

??????? 五、Rainbow Miner病毒

??????? Rainbow Miner病毒最大的特點是會隱藏挖礦進程kthreadds，美國Linux服務器用戶會發現CPU的占用率高，卻沒有發現可疑進程，是有因為Rainbow Miner病毒采用了多種方式進行隱藏及持久化攻擊。

??????? 系統中毒現象：

隱藏挖礦進程/usr/bin/kthreadds， CPU占用率高卻看不到進程。
會訪問Rainbow66.f3322.net惡意域名。
會創建SSH免密登錄公鑰，實現持久化攻擊。
存在cron.py進程。

??????? 解決方案：

??????? 1、美國Linux服務器下載busy box，使用busy box top定位到挖礦進程kthreadds及母體進程pdflushs，并進行清除。

??????? 2、刪除/usr/bin/kthreadds及/etc/init.d/pdflushs文件，及/etc/rc*.d/下的啟動項。

??????? 3、刪美國Linux服務器除/lib64/下的病毒偽裝文件。

??????? 4、清除python cron.py進程。

??????? 關于美國Linux服務器系統安全的加固建議：

??????? 1、美國Linux服務器系統的惡意軟件一般以挖礦為主，一旦被挖礦了，CPU的占用率會非常高，因此美國Linux服務器用戶需要實時監控CPU的狀態。

??????? 2、定時任務是美國Linux服務器系統惡意軟件常見的攻擊方式，所以需要定時檢查系統是否有出現可疑的定時任務。

??????? 3、美國Linux服務器系統避免存在SSH弱密碼的現象，需要更改為復雜密碼，且檢查美國Linux服務器在/root/.ssh/目錄下是否有存在可疑的authorized_key緩存公鑰。

??????? 4、美國Linux服務器用戶需要定時檢查Web程序是否有存在漏洞，特別關注Redis未授權訪問等RCE漏洞。

??????? 以上就是美國Linux服務器系統常見的病毒以及解決方案的介紹，希望能幫助到有需要的美國Linux服務器用戶。

??????? 現在夢飛科技合作的美國VM機房的美國Linux服務器所有配置都免費贈送防御值 ，可以有效防護網站的安全，以下是部分配置介紹：