近期,多起针对Linux服务器的挖矿攻击事件频发,不仅严重影响了服务器的正常运行,还导致了严重的资源浪费和潜在的安全风险
本文将通过一个典型的Linux挖矿案例,详细剖析挖矿木马的入侵、运行、检测和清除过程,旨在提高读者对挖矿木马的认识和防范能力
一、事件背景 某公司客户发现其服务器运行异常,表现为CPU资源占用持续处于100%状态,服务器响应缓慢,甚至偶尔出现卡顿现象
经过初步检查,技术人员怀疑服务器可能遭受了挖矿木马的攻击
二、挖矿木马的发现 1. CPU使用情况分析 首先,技术人员使用`top`命令查看服务器的CPU使用情况,发现存在一个名为`kdevtmpfsi`的可疑进程,该进程占用了大量的CPU资源
通过进一步搜索,确认`kdevtmpfsi`是一个知名的挖矿病毒
2. 挖矿木马文件路径查找 使用`ps -ef | grep kdevtmpfsi`命令找到`kdevtmpfsi`进程的详细信息,并记录下进程号
然后,使用`kill -9`命令终止该进程,并删除位于`/tmp/kdevtmpfsi`的执行文件
然而,不久后该进程再次运行,表明存在守护程序或计划任务
3. 守护进程和计划任务的排查 通过`systemctlstatus`命令和`crontab -l`命令,技术人员发现`kdevtmpfsi`有守护进程,并存在可疑的计划任务
这些计划任务每隔一段时间就会重新启动挖矿木马,使其难以被彻底清除
三、挖矿木马的清除 1. 终止挖矿木马进程 首先,使用`kill -9`命令终止所有与`kdevtmpfsi`相关的进程,包括守护进程和挖矿木马本身
然后,使用`killall -9 kdevtmpfsi`命令确保所有相关进程都被终止
2. 删除挖矿木马文件 删除位于`/tmp/kdevtmpfsi`的执行文件,并使用`find / -name kdevtmpfsi`命令搜索整个系统,找到并删除所有与`kdevtmpfsi`相关的文件
在搜索过程中,发现`/dev/shm/kdevtmpfsi`也存在病毒文件,同样进行删除
3. 排查和删除计划任务 使用`crontab -e`命令编辑计划任务列表,删除所有与挖矿木马相关的计划任务
同时,检查`/var/spool/cron/`、`/etc/crontab`、`/etc/cron.d/`、`/etc/cron.hourly`、`/etc/cron.daily`、`/etc/cron.weekly`和`/etc/cron.monthly`等目录,确保没有新的挖矿木马计划任务被添加
4. 排查开机启动项 检查系统的开机启动项,确保没有与挖矿木马相关的启动项被添加
这可以通过检查`/etc/rc.local`文件、`/etc/init.d/`目录以及使用`systemctl list-unit-files --type=service`命令来实现
四、系统恢复与加固 1. 检查系统日志 检查Linux SSH登录审计日志,CentOS与RedHat的审计日志路径为`/var/log/secure`,Ubuntu与Debian的审计日志路径为`/var/log/auth.log`
通过日志分析,找到挖矿木马入侵的时间点和路径,以便进一步排查和修复
2. 排查后门和漏洞 使用扫描工具对Web网站进行后门扫描,找到并删除所有与挖矿木马相关的后门文件
同时,对黑客的入侵点进行修复,并部署Web安全设备(IPS)、杀毒软件和流量监控设备,以防止类似攻击再次发生
3. 系统加固 启用SSH公钥登录,禁用密码登录,以减少黑客利用暴力破解手段入侵的可能性
对于云主机,完善安全策略,仅开放必要的端口(如80和443),并限制出口流量
对于物理机,可以通过硬件防火墙或iptables来设置出入口流量规则
4. 定期更新和打补丁 定期给主机打补丁,修复已知的安全漏洞
同时,关注最新的安全动态和威胁情报,及时调整安全策略
五、挖矿木马的危害与防范 1. 挖矿木马的危害 挖矿木马会占用大量的CPU资源,导致服务器运行缓慢,甚至崩溃
同时,挖矿过程中会消耗大量的电力,加快硬件老化速度
此外,挖矿木马还可能使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失
2. 挖矿木马的防范 防范挖矿木马需要采取多层次的安全措施
首先,加强服务器的安全管理,定期更新系统和软件补丁,关闭不必要的服务和端口
其次,使用强密码和安全的认证方式,如SSH公钥登录