硅云帮助文档中心
搜索文档
热门搜索词:
产品简介
产品定价
入门指南
经典案例
快照
常见问题
知识拓展
名词解释
API参考
服务器被植入挖矿木马自助排查清理手册
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。
黑客是怎么入侵的?
黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破、各种漏洞等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
如何简单判断是否被入侵?
挖矿木马会在用户不知情的情况下利用主机的算力进行挖矿,最明显的特征就是主机的CPU被大量消耗,查看云主机CPU占用率的方法有两种:
1、通过硅云管理控制台的资源监控功能进行查看,通过图形化的CPU监控,该项监控室最准确的。
2、通过登录服务器系统内进行查看(linux系统执行top命令查看、Windows系统打开任务管理器查看)
如果在系统内top命令发现高占用CPU的异常进程,则需考虑是否为挖矿木马,这种是最简单的木马,它根本没有做任何隐藏,排查困难点的是做了踪迹隐藏的木马,可以按照以下方法继续排查。
1、通过查看以上两种状态下的CPU占用情况,根据情况来分析:
1、如果在硅云控制台查看到CPU满载或高负载,但是在云服务器系统内检查CPU的综合负载并不高,这种情况基本可以断定被植入了木马,木马已经隐藏了自己。
2、如果在硅云控制台查看到CPU满载或高负载,在系统内top命令查看到综合CPU使用率很高,但是各项进程所占CPU负载都不高,加起来和总占用CPU差距非常大,这同样说明该木马进程将系统命令篡改了,从而隐藏了木马进程的踪迹。
2、通过系统防火墙的规则检查
原理:挖矿木马不仅会连接矿池,还有可能会连接黑客的C2服务器,接收并执行C2指令、投递其他恶意木马,所以可以通过排查是否有异常的规则来判断,并及时进行网络阻断。
①检查主机防火墙当前生效的iptables规则中是否存在业务范围之外的可疑地址和端口,它们可能是挖矿木马的矿池或C2地址:
iptables -L -n
②从iptables规则中清除可疑地址和端口:
vi /etc/sysconfig/iptables
③阻断挖矿木马的网络通信:
iptables -A INPUT -s 可疑地址 -j DROP iptables -A OUTPUT -d 可疑地址 -j DROP
3、通过计划任务检查
可以通过执行如下命令查看是否存在可疑定时任务,若有,则先保存相关记录用于后续分析,再进行删除: 查看系统当前用户的计划任务:
crontab -l
查看更多计划任务:
cat /etc/crontab cat /var/spool/cron cat /etc/anacrontab cat /etc/cron.d/ cat /etc/cron.daily/ cat /etc/cron.hourly/ cat /etc/cron.weekly/ cat /etc/cron.monthly/ cat /var/spool/cron/
4. 清除启动项
除了计划任务,挖矿木马通过添加启动项同样能实现持久化。可以使用如下命令查看开机启动项中是否有异常的启动服务。
CentOS7以下版本:
chkconfig –list
CentOS7及以上版本:
systemctl disable 服务名
更多详细的参考
以内部分内容参考的【相关文章】https://www.cnblogs.com/angryprogrammer/p/13456681.html
相关文档
您对该文档有什么建议?
本文导航
