情况说明:
挖矿进程被隐藏,CPU 占用50%,htop/top 看不到异常进程,crontab -l 没有发现定时任务。
中毒症状
服务器为2颗 Intel(R) Xeon(R) Gold 6238R 共计56核112线程,木马程序独自一个 CPU 资源,系统内存占用较大,中毒表现有如下几点:
- 占用一半 CPU 资源,每个核心使用率100%
- 通过 nethogs 命令发现有异常 IP 和端口流量(4444和3333端口)
- 使用 sysdig -c topprocs_cpu 命令可查看到异常 CPU 资源占用情况,并显示出具体 PID
- 服务器操作异常卡顿
处理过程
由于是生产环境且不可断网、断电,我们尝试找到这个进程服务并将其关闭、清除,由于忘记截图,所以下面只有思路、过程。
执行命令,输出cpu占用的排行,可以显示出隐藏的进程
sysdig -c topprocs_cpu
5596.73% 5fcb9747 2570利用 PID 查看服务或进程状态,但是发现进程在很早前就已经停止运行了,但是进程依然在活动,/5fcb9747 根目录下未找到相关文件
root@gpu:~# systemctl status 2570
● ef3ba80a.service
Loaded: not-found (Reason: Unit ef3ba80a.service not found.)
Active: failed (Result: resources) since Wed 2025-06-18 08:28:50 UTC; 4 weeks 0 days ago
Main PID: 146141 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/ef3ba80a.service
└─2570 /5fcb9747
Jun 18 08:28:50 koala systemd[1]: ef3ba80a.service: Failed to schedule restart job: Unit ef3ba80a.service not foun>
Jun 18 08:28:50 koala systemd[1]: ef3ba80a.service: Failed with result 'resources'.
尝试杀掉进程,会自动重新运行,且找不到病毒文件
kill -9 2570跟踪一下系统调用,发现有异常连接,查询 IP 显示为国外 IP 地址
strace -p 2570
# 关键信息
connect(13, {sa_family=AF_INET, sin_port=htons(3333), sin_addr=inet_addr("178.128.242.134")}, 16) = -1 EINPROGRESS (Operation now in progress)处理办法
通过应用防火墙封禁木马端口,后期根据业务情况重装系统。防火墙策略思路如下:
trust区域—>untrust区域流量,源地址=内网地址,目的地址=any,协议 any,目的端口=4444/3333,动作:禁止访问
版权声明:「自由转载-保持署名-非商业性使用-禁止演绎 3.0 国际」(CC BY-NC-ND 3.0)
用一杯咖啡支持我们,我们的每一篇[文档]都经过实际操作和精心打磨,而不是简单地从网上复制粘贴。期间投入了大量心血,只为能够真正帮助到您。
暂无评论
