近期部分服务器感染木马的清理指南

　　近期根据网络安全监测及部分用户反映，经现场勘察和样本分析后，确认部分校园网内服务器感染了新型“挖矿”木马。该木马主要通过弱口令进行传播，不仅可以进行非法“挖矿”活动，还能够进行网络攻击和数据窃取。为保护个人数据及研究数据安全，我们强烈建议各位服务器管理员对系统进行全面排查。

一、排查是否感染木马

1. 检查系统是否存在木马样本

检查是否存在 /etc/ptr.so、/var/lib/library 和 /var/lib/library/tmp 等文件，这些位置已确认被用来存放恶意代码和动态链接库。

2. 检查异常进程

使用命令 ps aux | grep atw 或 ps aux | grep ptuf 查看是否存在名为 [atw] 或 [ptuf] 的进程，这些进程已确认是木马进程。

3. 检查异常网络链接

使用命令 netstat -antp 查看所有异常网络连接。查看是否存在不明IP地址和端口的连接，同时检查这些连接对应的进程名，是否为上述异常进程或其他未知进程（攻击者可能改变恶意进程名）。

4. 检查系统配置文件

审查 /etc/cron* 目录下的配置文件，查看是否存在未授权或异常的条目。确保没有恶意脚本被设置为自启动。同时，检查~/.ssh/authorized_keys 中是否存在未授权的公钥信息。

如果您的服务器存在上述特征，说明您的系统已经感染了木马。

二、处置建议

鉴于木马已获取系统root权限，简单的病毒清除可能无法完全解决问题，我们推荐您备份数据并重装操作系统，以确保系统环境的完整性和安全性，请参考以下方法进行处置。

1. 清理木马样本

清理文件 /etc/ptr.so，以及 /var/lib/library 目录下的所有文件。

2. 备份重要数据

备份所有重要数据。注意备份时应避免包含上述木马文件，以及其他执行文件或系统文件，以防其他未知木马文件被误备份。

3. 重装系统

请使用可信来源获取操作系统安装介质，重装系统后更新操作系统到最新版本，并应用所有安全补丁。

4. 加固系统安全

更新并加强密码策略。系统重装后，请立即更新用户的登录密码，安装并配置防病毒软件或防火墙。请参考： https://its.pku.edu.cn/faq_ssh.jsp 。

5. 持续监控和审计

定期审查系统和网络日志，关注任何非授权访问及异常行为；定期使用netstat, top, htop 等工具监控系统运行状态，检查是否存在异常网络连接以及进程。

有任何问题，可以通过如下方式联系我们：联系电话：010-62751023 ， 邮箱：its@pku.edu.cn。

 

北京大学计算中心

2024年04月18日