提示：本文總結了大學實驗室 Linux 電腦感染挖礦病毒后的安全加固措施，重點介紹用戶密碼管理、系統安全強化、威脅清理及軟件管理規范化，特別強調防止不正規軟件引入威脅的策略。適合實驗室用戶和系統管理員參考。

背景

我們的實驗室電腦（Ubuntu 系統，內網 IP 10.101.100.37）近期感染了疑似挖礦病毒，涉及惡意腳本 /bin/tDLzoNS7 和隱藏進程 /dev/shm/netools，通過 Cron 任務持久運行并連接外部服務器（美國加州） 45.154.1.156:80。清理后，病毒腳本已移除，半小時內未再出現挖礦行為，其他機器未受感染。初步判斷，感染源自不正規的應用軟件包，而非外部攻擊，因訪問需通過大學 VPN。

實驗室電腦通過 VPN 訪問，外部攻擊可能性低。VPN 提供加密隧道和認證機制，大學防火墻限制入站流量，私有 IP 地址（10.101.100.37）不可直接從公網訪問。感染更可能是內部引入的惡意軟件主動發起出站連接，凸顯規范軟件管理的重要性。

本文聚焦加固措施，特別強調“規范軟件管理”，以確保實驗室電腦安全。

加固措施

1. 修改用戶密碼

目標：增強賬戶安全性，防止未經授權訪問。

步驟：

• 修改 root 密碼：

  sudo passwd root
  

  • 使用強密碼（至少 12 位，包含大小寫字母、數字、符號，如 X7$kPq9#mW2n）。
• 修改用戶密碼（如 ccccs）：

  passwd ccccs
  

• 檢查用戶賬戶：

  cat /etc/passwd  # 列出所有用戶
  sudo last        # 查看登錄歷史
  

  • 刪除一年以上未使用的賬戶：

    sudo userdel -r <username>
    

說明：惡意軟件可能利用弱密碼或默認賬戶入侵。定期更換密碼并限制用戶權限還是有必要的，尤其在實驗室多人共用電腦的場景下。

2. 使用公鑰認證替代密碼登錄

目標：通過 SSH 公鑰認證禁用密碼登錄，提高賬戶安全性，降低暴力破解風險。

流程：

1. 生成密鑰對（在用戶本地設備，如個人電腦）：

   ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
   

   • 按提示保存密鑰（默認 ~/.ssh/id_rsa），可設置密碼保護私鑰。
   • 輸出公鑰文件 ~/.ssh/id_rsa.pub。

2. 將公鑰上傳到服務器（目標實驗室電腦）：

   • 復制公鑰到服務器用戶（如 ccccs）的 ~/.ssh/authorized_keys：

     ssh-copy-id ccccs@10.101.100.37
     

     或手動復制：

     cat ~/.ssh/id_rsa.pub | ssh ccccs@10.101.100.37 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys'
     

   • 確保權限正確：

     ssh ccccs@10.101.100.37
     chmod 700 ~/.ssh
     chmod 600 ~/.ssh/authorized_keys
     

3. 禁用密碼登錄：

   • 編輯 SSH 配置文件：

     sudo nano /etc/ssh/sshd_config
     

   • 修改或添加以下行：

     PasswordAuthentication no
     PubkeyAuthentication yes
     

   • 重啟 SSH 服務：

     sudo systemctl restart sshd
     

4. 測試公鑰登錄：

   • 從本地設備嘗試 SSH：

     ssh ccccs@10.101.100.37
     

   • 應無需密碼即可登錄（若設置了私鑰密碼，需輸入）。

說明：公鑰認證使用非對稱加密，私鑰存儲在用戶設備，公鑰存于服務器，安全性遠高于密碼。禁用密碼登錄可有效防止暴力破解，尤其適合通過 VPN 訪問的實驗室環境。需確保私鑰安全，避免泄露。

3. 強化系統安全

目標：修復漏洞，限制不必要訪問。

步驟：

• 更新系統：

  sudo apt update && sudo apt upgrade
  sudo apt dist-upgrade
  

• 配置防火墻（系統已經默認配置，重啟即可）：

  sudo apt install ufw
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw allow 22/tcp  # 允許 SSH
  sudo ufw enable
  sudo ufw status       # 驗證狀態
  

說明：之前惡意腳本禁用了防火墻（ufw disable 和 iptables -P ACCEPT），重新配置 UFW 可防止類似攻擊。

4. 掃描與清理殘留威脅

目標：確保無隱藏惡意軟件。

步驟：

• 掃描隱藏進程：

  sudo unhide proc
  sudo unhide brute -d
  sudo unhide-tcp
  

5. 規范軟件管理（重點）

目標：杜絕不正規軟件引入病毒，保障實驗室電腦安全。

步驟：

• 僅從正規軟件源安裝軟件：

  sudo apt install <package>  # 使用 Ubuntu 官方倉庫 或 阿里云鏡像倉庫
  

• 檢查已安裝軟件：

  dpkg -l | grep <suspicious_name>
  sudo apt remove <package>  # 移除可疑軟件
  

• 驗證軟件包簽名：

  sudo apt-key list  # 檢查 GPG 密鑰
  

• 使用容器隔離實驗軟件：

  sudo apt install docker.io
  sudo docker run -it <image>  # 在隔離環境中運行
  

• 建立嚴格的政策：
  • 禁止下載未經驗證的 .deb、.sh 或二進制文件。
  • 實施軟件白名單，需經管理員審核。
  • 記錄軟件安裝日志：

    sudo nano /var/log/software_install.log
    

說明：本次病毒感染疑似因不正規軟件包引入，凸顯規范軟件管理的重要性。實驗室常需安裝實驗軟件，容器化（如 Docker）可隔離潛在威脅，避免直接影響系統。嚴格的政策和培訓能從源頭降低風險。

注意事項

1. VPN 依賴性：實驗室電腦通過 VPN 訪問，外部攻擊可能性低，但需關注出站流量（如挖礦連接）。
2. 重裝考慮：盡管病毒已清理，系統可能存在隱藏威脅。建議備份數據后重裝：
3. 持續監控：定期檢查防火墻和進程：

   sudo ufw status
   ps -aux | grep netools
   

總結

通過修改密碼、強化系統安全、清理威脅和規范軟件管理，我們顯著提升了實驗室電腦的安全性。特別地，規范軟件管理是防止不正規軟件引入病毒的核心措施，結合容器化和嚴格政策，能有效降低未來風險。