Как удалить майнинг вирус


Майнинг криптовалют – модная нынче тема, но у нее есть и обратная сторона. Потому как майнинг требует ресурсов, то появляется все больше и больше вирусов, которые “садятся” на ваш компьютер или сервер, чтобы использовать ваши ресурсы для майнинга криптовалют.

Эта история, увы, не обошла стороной и автора этого блога. В связи с тем, что в пылу борьбы с вирусом было не до записи своих действий, привожу свободный перевод статьи, которая в свое время помогла избавиться от вируса на сервере, на котором расположены мои сайты WordPress.

Как заблокировать и удалить вредоносный код майнинга Monero c сайта WordPress.

Симптомы: На сервере Linux, где расположен сайт нагрузка на CPU вдруг стала 100%, чего быть не должно.

Заходим в систему, проверяем выполняемые процессы и видим что-то похожее на:

$ ps ax|grep php
 4328 ? S 0:03 ./cron.php -e0.0.0.0 -p56113
 16936 ? Sl 174:51 /tmp/phprScAj0_j3oku523wjamvhep -c /tmp/phprScAj0.c
 17740 pts/0 S+ 0:00 grep php

Cron.php позволил ботам запустить майнинг на сервере. /tmp/phprScAj0_j3oku523wjamvhep – это и есть программа-майнер криптовалют Monero, которая зарабатывает деньги для того, кто проник в вашу систему

Содержание файла /tmp/phprScAj0.c выглядит примерно так:

threads = 1
mine = stratum+tcp://46FrzMYxeiwW9ua7HkNuZmB3YXTCvmRm6ZroKEj7GnqiR7tyFKQEoNxKKTDLAvaLca9NS3r325cSq5PyjhNP6JNZPiMETHh:x@monerohash.com:3333/xmr

Останавливаем процесс (нужно заменить id процесса на id из вашей системы):

$ sudo kill -9 4328 16936

и приступаем к удалению вредоносного кода.

  1. Устанавливаем плагин Sucuri WordPress – это можно сделать из админки Plugins > Add New > (ищем Sucuri)
  2. Загружаем копию WordPress и копии поврежденных файлов, перечисленных в плагине – через командную строку или другим удобным способом
  3. Удаляем все файлы, которые плагин обознаяил, как не относящиеся к WordPress
  4. Устанавливаем плагин iThemes Security WordPress – так же, как в п.1
  5. Деактивируем XML-RPC через iThemes Security > Settings > WordPress Tweaks page
  6. Удаляем все php files из wp-content/uploads (эти файлы называются как файлы WordPress, но это не так):
    $ find wp-content/uploads -iname "*.php" -delete
  7. Деактивимрум выполнеие PHP в директории wp-content/uploads
  8. Ищем бэкдоры в кодах в темы. Ищем что-то похожее на:
    майнинг-бэкдор
    Чтобы быстро проверить php коды на наличие странных наборов символов, как в приведенном выше примере, можно сделать следующее:

    $ find wp-content/themes -iname "*.php" |xargs cat|less

    Удаляем найденные файлы или фрагменты вредоносного кода.

  9. Другой способ обнаружить вредоносный код
    $ find . -iname "*.php" -exec grep -H ';$GLOBALS\[' {} \;

    Удаляем найденные файлы или фрагменты вредоносного кода.

  10. Находим и удаляем вредоносные файлы, которые прячутся за фавикон, они выглядят примерно так – favicon_0c57fe.ico. Буквы и цифры после нижнего подчеркивания будут другими:
    $ find . -iname "favicon_*.ico" -delete

    Эти файлы не имеют никакого отношения к фавикон, в них содержится вредоносный php код.

  11. Проверяем wp-config.php на предмет подозрительных включений – например, файл ico из приведенного выше примера. Удаляем все подозрительное.
  12. Вот и все! – Смотрим на графики использования CPU, чтобы убедиться, что весь вредоносный код безвозвратно удален.

От автора статьи Как заблокировать и удалить вредоносный код майнинга Monero c сайта WordPress: я не уверен, что необходимо предпринять все из перечисленного, но мне это помогло избавить от вредоносных ботов. Надеюсь, что это поможет кому-нибудь еще.


Комментировать