关于门罗币(syst3md)挖矿病毒的处置
家用服务器遭挖矿病毒入侵!
一、事件起源:原神机器人引发的"惨案"
2024年春节刚过,我沉迷于《原神》角色养成,在Gitee发现一个开源的云崽机器人项目。这个能查询角色面板的小工具让我爱不释手,但为了方便在外维护,我用FRP将家用服务器(配置:AMD FX4300/8G DDR3)暴露到了公网——这个决定让我付出了惨痛代价。
⚠️ 重要说明:
云崽项目本身是干净的!问题出在我的FRP配置不当和系统防护缺失。
二、案发现场:服务器为何"高烧不退"
2月14日早上SSH连接时,响应延迟突然增加到10秒以上——这对轻量级的云崽机器人极不寻常。登录宝塔面板看到CPU曲线,我心头一凉:
- 🎛️ FX4300持续95%+负载(TDP 95W全开)
- 💸 预估每日多耗电2.3度(≈¥1.84)
- 🕹️ 机器人响应延迟超15秒
# 揪出元凶的命令
top -c
PID USER %CPU COMMAND
30315 adminis 98.7 syst3md病毒特征分析
- 伪装术:syst3md 仿冒 systemd(字母e变3)
- 藏身处:
/usr/bin/.ICE-unix/.k/.file-2234A - 复活术:通过cron定时任务守护
三、剿灭病毒:我的三板斧
- 断其根基
crontab -r # 核弹级清空所有定时任务(注:生产环境请用
crontab -l > backup.txt备份) - 斩首行动
sudo kill -9 30315 # 强制终结进程 - 清理战场
病毒老巢目录结构 sudo rm -rf /usr/bin/.ICE-unix/.k # 彻底物理删除
四、亡羊补牢:安全加固方案
🛡️ 立即执行
- 修改默认账户密码:
sudo passwd adminis - FRP改用30000+随机端口
- 安装防火墙:
sudo apt install ufw
🔍 长期防御
- 部署ClamAV每周自动扫描:
sudo freshclam clamscan -r --bell --remove / - 安装fail2ban防御爆破:
sudo apt install fail2ban
⚠ 血泪教训:我的adminis账户密码是"Admin123!"——这种8位含大小写的密码在黑客字典里排名第37位常见!
阅读剩余
版权声明:
作者:夏木
链接:https://xmosai.com/archives/56
文章版权归作者所有,未经允许请勿转载。
THE END
