导语
CPU占用率突然飙至100%,系统响应缓慢甚至宕机——这是Linux服务器遭遇挖矿木马的典型症状。据统计,2023年全球企业因加密货币挖矿攻击导致的经济损失超45亿美元,其中70%的攻击发生在未及时修补的Linux服务器上。本文提供「3步闪电排查法」+ 开源猎杀工具包,助你30分钟内终结挖矿木马!
一、第一招:进程与资源分析
1.1 快速锁定高负载进程
# 查看CPU占用排序(过滤异常进程名)
top -b -n 1 | awk 'NR>7 && $9>80 {print $0}' | sort -k9 -nr
# 检测隐藏进程(对比/proc与ps输出)
ls /proc | grep '^[0-9]\+#39; | sort -n | uniq -c | grep -vE '^1'
ps auxf | awk '{print $2}' | sort -n | uniq -c | grep -vE '1'
# 监控实时资源消耗(重点关注内存异常)
htop -P '%MEM>50' # 显示内存占用超50%的进程1.2 挖矿木马特征识别
- 进程命名伪装:伪装成系统进程(如systemd、kworker)或随机字符串(如x1234 miner)
- 异常CPU亲和性:绑定特定CPU核心(通过taskset -p <PID>检测)
- 持续磁盘写入:挖矿程序常生成日志文件(如/tmp/minerd.log)
案例:某企业内网服务器因Redis未授权访问被植入门罗币挖矿脚本,攻击者通过crontab定时执行/tmp/miner.sh,导致CPU持续满载。
二、第二招:网络流量溯源
2.1 检测异常外连行为
# 监控实时外连IP(过滤非常用端口)
iftop -P -N -i eth0 | grep -E 'ESTABLISHED.*:[0-9]+' | awk '{print $1}' | sort | uniq -c | sort -nr
# 检测DNS隐蔽信道(高频域名解析)
tcpdump -i eth0 -n 'udp port 53 and (length > 50)' | awk '{print $3}' | cut -d. -f1-4 | sort | uniq -c
# 分析连接时长(挖矿木马常维持长连接)
ss -tnp | grep ESTAB | awk '{print $6}' | cut -d, -f2 | sort | uniq -c2.2 关键IoC检测
- C2服务器域名:挖矿木马常用动态域名(如*.pool.minexmr.com)
- P2P通信特征:检测STUN/TURN协议(部分木马使用NAT穿透技术)
- 矿池握手包:通过strings提取流量中的矿池标识(如stratum+tcp://)
工具推荐:
- Wireshark:深度解析流量载荷(过滤udp.port == 3333检测XMRig通信)
- Zeek:自动生成网络行为报告(检测异常协议使用)
三、第三招:文件与持久化清除
3.1 挖矿程序定位
# 搜索可疑二进制文件(重点关注/tmp、/dev/shm等临时目录)
find / -type f $ -name "*miner*" -o -name "*coin*" $ -mtime -1 -ls
# 检测异常ELF文件(对比文件哈希)
rpm -qf /usr/bin/$(basename <可疑文件路径>) # 验证系统自带文件
sha256sum <可疑文件路径> | grep -vE '官方哈希值' # 对比已知干净文件
# 查找隐藏符号链接(攻击者常用伪装手段)
find / -type l -exec ls -l {} \; | grep -E '-> /tmp/.*miner'3.2 彻底清除挖矿组件
# 终止恶意进程链(含父子进程)
pkill -9 -f 'minerd|xmr-stak|cryptonight'
# 删除定时任务(常见于/etc/cron*)
crontab -u root -l | grep -vE 'curl|wget|bash' | crontab -u root -
# 清理残留文件(含内核模块注入)
rm -f /tmp/minerd /dev/shm/.X11-unix/X0 /lib/modules/$(uname -r)/extra/malicious.ko
# 重置SSH密钥(防御横向移动)
ssh-keygen -R $(hostname)工具包清单:
工具名称 | 功能 | 下载地址 |
XMRig Detector | 实时检测门罗币挖矿行为 | github.com/Neo23x0/xmr-detector |
ClamAV | 扫描已知挖矿病毒特征 | clamav.net/downloads.html |
OSSEC | 文件完整性监控 | ossec.github.io/ |
四、防御升级:构建反挖矿体系
4.1 自动化拦截策略
# 使用iptables封禁矿池域名解析
iptables -I OUTPUT -p tcp --dport 3333 -m string --string "stratum+tcp" --algo bm -j DROP
# 限制容器逃逸(针对Kubernetes环境)
docker run --cpus="1.0" --memory="512m" # 限制资源配额
# 配置Fail2ban自动封禁(匹配挖矿特征)
echo "failregex = ^<HOST> - - .*\"GET \/.*\.js.*pool.minexmr.com" >> /etc/fail2ban/filter.d/miner.conf4.2 系统加固方案
- 最小化暴露面:通过firewalld仅开放必要端口(如SSH 22)
- 权限隔离:使用AppArmor限制关键进程权限(aa-enforce /etc/apparmor.d/usr.sbin.mysqld)
- 补丁管理:定期更新高危组件(如OpenSSL、Redis)
五、事后复盘与监控
5.1 攻击时间线重构
# 提取系统日志时间戳(精确到秒级)
journalctl --since "2024-03-01 00:00:00" --until "2024-03-01 03:00:00" | grep -E 'Accepted|Failed'
# 分析进程启动链(检测cron滥用)
ps -eo pid,lwp,cmd,%mem,%cpu --sort=-%cpu | head -n 205.2 长期监控方案
- 行为基线建模:使用Wazuh检测异常进程行为(如非业务时间CPU突增)
- 威胁情报联动:接入Shodan实时扫描暴露端口(curl https://api.shodan.io/shodan/host/search?q=product:Redis)
结语
挖矿木马的隐蔽性远超想象——它们会伪装成系统服务、劫持定时任务,甚至利用内核漏洞长期潜伏。记住:每一秒的延迟都意味着算力流失与电费损失!立即用本文的3招检查你的服务器,评论区分享你的排查经历,点赞前三名赠送《Linux反挖矿作战手册》(含50个真实案例解析)!