服務器被植入挖礦木馬cpu飆升200%的解決過程是什么
# 服務器被植入挖礦木馬CPU飆升200%的解決過程
## 事件背景
2023年5月�,某互聯網公司的運維團隊突然收到多臺生產服務器的CPU使用率告警���。監控系統顯示���,部分服務器的CPU使用率從正常范圍的30%飆升至200%以上��,導致核心業務系統響應緩慢����,部分用戶請求超時�����。
## 第一階段:問題現象分析
### 1.1 異常指標確認
- **監控圖表**顯示CPU使用率呈現"鋸齒狀"波動(每10分鐘出現一次峰值)
- **top命令**查看發現異常進程`kthreadd/0`占用380%CPU
- **網絡流量**異常:出向流量較平日增加200Mbps
### 1.2 初步判斷依據
```bash
ps auxf | grep -E 'kthreadd|stranges'
發現可疑進程樹:
/usr/bin/.sshd -o stratum+tcp://xmr.pool.com:443 -u 49xx...xxx -p x
第二階段:入侵溯源調查
2.1 系統日志分析
grep -i 'accepted' /var/log/secure
發現可疑登錄:
May 15 03:21 sshd[28761]: Accepted password for root from 185.143.223.xx
2.2 惡意文件定位
通過rpm -Va校驗系統文件完整性��,發現異常:
..5....T. /usr/bin/curl
.M....... /etc/cron.hourly/gcc.sh
2.3 入侵路徑還原
時間線重建:
1. 攻擊者通過弱密碼爆破獲得root權限
2. 植入持久化后門:
- /etc/rc.local添加開機啟動項
- 創建惡意cron任務(*/10 * * * *)
3. 下載挖礦程序偽裝為kthreadd內核進程
第三階段:應急響應措施
3.1 立即處置動作
- 網絡隔離:
iptables -A OUTPUT -d xmr.pool.com -j DROP
- 進程終止:
kill -9 $(pgrep -f 'stratum+tcp')
- 臨時清理:
rm -f /tmp/.X11-unix/.rsync/c
chattr -i /etc/cron.hourly/gcc.sh
3.2 深度清理方案
- 查找所有可疑文件:
find / -mtime -3 -type f \( -name "*.sh" -o -name "*.config" \)
- 清除惡意賬戶:
userdel -r games
passwd -l root
- SSH加固:
sed -i 's/PasswordAuthentication yes/no/' /etc/ssh/sshd_config
第四階段:安全加固
4.1 系統級防護
- 安裝HIDS工具:
wget https://ossec.net/files/ossec-agent-3.7.0.tar.gz
- 內核參數調優:
# /etc/sysctl.conf
kernel.core_uses_pid = 1
kernel.kptr_restrict = 2
4.2 挖礦木馬專項防護
- 使用XMRig黑名單:
iptables -N XMR_BLOCK
curl -s https://raw.githubusercontent.com/xxx/xmr-nodes.txt | xargs -I{} iptables -A XMR_BLOCK -d {} -j DROP
- 文件監控策略:
# auditd規則
-w /usr/bin/ -p wa -k system_bin
-w /etc/cron.* -p wa -k cron_config
第五階段:事后復盤
5.1 事件根本原因
| 分類 |
問題點 |
改進措施 |
| 認證安全 |
root弱密碼 |
啟用SSH證書認證 |
| 監控缺陷 |
無進程行為基線 |
部署FIM系統 |
| 響應延遲 |
告警閾值過高 |
CPU超80%即觸發 |
5.2 技術收獲
挖礦木馬新型特征:
- 使用
libprocesshider隱藏進程
- 通過DNS-over-HTTPS通信
- 感染Docker容器逃逸
有效檢測手段:
“`bash
檢測CPU異常進程
ps -eo pcpu,pid,args –sort=-pcpu | head -10
# 檢查隱藏模塊
lsmod | grep -E ‘libprocesshider|kinsing’
## 完整處置清單
### 6.1 必須檢查的項目
1. 用戶賬戶:
```bash
awk -F: '($3 == 0) {print}' /etc/passwd
定時任務:
for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
啟動項:
systemctl list-unit-files --state=enabled
6.2 推薦工具集
| 工具名稱 |
用途 |
示例 |
| Lynis |
系統審計 |
lynis audit system |
| Chkrootkit |
后門檢測 |
chkrootkit -x |
| ClamAV |
病毒掃描 |
clamscan -r / --exclude-dir=/sys/ |
總結與建議
預防性措施:
- 部署EDR解決方案(如Falco)
- 定期進行紅藍對抗演練
- 實現網絡微隔離
監控優化:
“`yaml
Prometheus告警規則示例
- alert: CryptoMining
expr: sum(rate(node_cpu_seconds_total{mode=“system”}[5m])) by (instance) > 0.8
for: 10m
”`
應急響應流程:
發現異常 → 初步遏制 → 影響評估 → 根因分析 → 恢復處置 → 復盤改進
通過本次事件�,我們建立了更完善的云主機安全防護體系�,后續同類型攻擊的成功率下降92%�。建議企業參考MITRE ATT&CK框架的TA0042戰術(資源劫持)構建防御矩陣���。
“`
注:本文為模擬案例���,實際處置時應根據環境調整命令�。文中涉及的IP/域名已做脫敏處理��,所有技術方案需經過測試環境驗證后再應用于生產系統��。
