发现服务器 CPU 占用异常或进程名可疑时,最稳妥的做法是先通过云控制台切断外网连接再排查,避免病毒扩散或数据外传。切勿直接 kill 进程,应先保留现场证据,防止病毒通过定时任务或父进程复活。
先说结论:不要直接在系统内操作防火墙隔离,优先通过云控制台安全组禁用出站流量,防止误伤 SSH 连接。
- 先判断:确认进程是否真的异常,排除业务高峰导致的正常高负载。
- 优先做:断开外网连接或配置安全组拦截可疑 IP,阻止数据外传。
- 再验证:清理完成后监控 CPU 和网络连接,确保没有残留进程或定时任务。
命令速用版
以下命令用于快速定位高占用进程、网络连接及入侵痕迹:
# 查看 CPU 占用最高的进程(按 P 键排序)
top -c# 查看进程对应的可执行文件路径
ls -l /proc/[PID]/exe# 查看进程建立的网络连接(替代 netstat)
ss -antp | grep [PID]# 查看系统登录日志
last
lastb
grep "Failed" /var/log/secure# 查看文件是否被锁定(不可删除)
lsattr [文件路径]# 查看定时任务
crontab -l
cat /etc/crontab
ls /etc/cron.d/为什么会这样
挖矿病毒通常会伪装成系统进程名(如 kworker、systemd),或者利用未修复的漏洞写入定时任务。它们的核心目的是占用 CPU 或 GPU 资源计算加密货币,因此最明显的特征是服务器负载升高、风扇狂转。病毒为了持久化,往往会修改 crontab、systemd 服务或 SSH 授权密钥,单纯杀死进程往往会在几分钟后复活。部分病毒会连接特定矿池端口(如 3333、4444、8888)进行通信。
分步处理
1. 隔离网络
优先通过云厂商控制台的安全组功能,禁用服务器的出站流量(Outbound),或者仅允许特定管理 IP 访问。避免直接在服务器内部配置防火墙拦截出站流量,以防误配导致 SSH 入站连接中断,造成失联。
2. 定位进程
使用 top 命令按 P 键排序 CPU 占用。记下可疑进程的 PID。注意有些病毒会伪装成 kworker 或 systemd 字样,需结合exe 路径核对。使用ps -ef `--sort`=-pcpu辅助查看完整启动命令。
3. 查找文件与网络
通过ls -l /proc/[PID]/exe找到病毒文件真实路径。如果显示 deleted,说明文件已被删除但进程仍在运行,此时需重点检查内存和定时任务。使用ss -antp检查是否有连接矿池常见端口(3333, 4444, 8888, 9999)的异常外联。
4. 排查入侵入口
检查系统登录日志,确认是否有暴力破解痕迹。使用last查看成功登录记录,lastb查看失败登录记录。检查/var/log/secure或/var/log/auth.log中是否有异常 SSH 登录成功记录。同时检查~/.ssh/authorized_keys,看是否有陌生的公钥被写入。
5. 清除持久化与文件
检查crontab -l、/etc/cron.d/*、/etc/init.d/以及 systemd 服务。在删除病毒文件前,先使用lsattr [文件路径]检查文件属性。如果显示有i属性(不可变),需先执行chattr -i [文件路径]解锁,然后再使用rm删除。确认持久化项清除后,使用kill -9 [PID]终止进程。
怎么验证是否生效
清理后观察 top 命令,CPU 占用应回落到业务正常水平。使用ss -antp检查是否有异常的外联连接,特别是矿池端口。重启服务器后,再次检查进程列表和定时任务,确认病毒没有随系统启动复活。建议安装基础安全工具(如 rkhunter)进行后续扫描。
常见坑
1. 直接删除文件导致 inode 未释放,进程依然运行,需先 kill 进程再删文件。
2. 忽略父进程,只杀了子进程,父进程会再次拉起,需检查进程树。
3. 没有修改弱密码或漏洞,清理后很快被再次入侵,务必更新密码和补丁。
4. 病毒隐藏在/tmp 或/var/tmp 目录,清理时容易遗漏,需全盘排查。
5. 文件被设置了不可变属性(chattr +i),直接 rm 会失败,需先解锁。
原文链接:https://www.zjcp.cc/ask/11341.html