Linux挖矿应急响应处置

最新推荐文章于 2025-03-21 16:30:27 发布

MonkeyD.路飞

最新推荐文章于 2025-03-21 16:30:27 发布

阅读量2.5k

点赞数 28

分类专栏：网络安全文章标签： linux 网络网络安全

本文链接：https://blog.csdn.net/weixin_43253823/article/details/136485095

版权

文章讲述了Linux服务器遭遇挖矿病毒入侵的过程，从异常现象的识别（高CPU占用和网络活动），到深入分析和排查（通过PID、脚本和配置文件追踪）、病毒处置（清除公钥、杀进程、删除恶意文件和计划任务）以及应急响应结论，详述了攻击者利用SSH暴力破解和计划任务传播病毒的经过。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、异常现象确认

查看CPU占用率，发现work32 cpu占用率较高

查看网卡信息发现发送了大量数据包

使用：lsof -i -PnR 命令查看网络通信情况，发现work32存在大量网络通信

执行netstat -tantp语句查看到：SYN_SENT (表示客户端发送建立连接的SYN请求)，发现该主机中的可疑进程work32在登陆很多外部主机的SSH 端口

于深信服/微步等威胁检测平台中对部分外连IP进行检测，暂未发现报威胁异常

2、分析排查

查找PID-2585或查找进程work32

Is -al /proc/[可疑PID]目录，查看到对应进程目录和进程

进入到命令下发现.work目录不存在，使用ls -a 查看.work文件夹被隐藏

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

MonkeyD.路飞

关注关注

28
点赞
踩
34

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Window应急响应（四）：挖矿病毒

08-05

5344

0x00 前言随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。 0x01 应急场景某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。 0x02 事件分析 ...

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤

热门推荐

wangyuxiang946的博客

05-05

2万+

首先根据CPU占用率确定确定挖矿进程，找到母体文件并清除。而后是检查计划任务、启动项中，挖矿木马的持久化操作，杜绝复发。最后通过账号、日志、母体文件等信息，溯源攻击路径。

参与评论您还未登录，请先登录后发表或查看评论

《Linux 应急响应手册 v2.0》

2301_76786857的博客

02-27

432

时候甚⾄是不允许携带电脑的，希望⼤家遇到这种场景的时候，⼿⾥的这份《Linux 应急响应⼿。使⽤起来很⽅便的图形化⼯具，同时，在很多场景下，我们没有办法使⽤⾃⼰的电脑通过 SSH。在当前的攻防对抗态势中，防守⼀侧的情况就和⽊桶效应⼀样，尤其是在已经被攻破的系统中，排查持久化控制程序如同⼤海捞针，这本应急响应⼿册的意义是希望能够有效发现⽊桶的短板，给予应急响应⼈员⼀个较为明确的指导思想，同时给出经过实践测试的操作⽅法，保证受害系统。

Linux 应急响应指南

Sgirll的博客

02-10

744

希望这篇分享能为各位安全人员在实战中提供帮助，也欢迎大家交流更多经验与技巧！

Linux应急响应之挖矿篇

qq_42671480的博客

05-20

1255

Linux应急响应之挖矿篇 Linux服务器经常受到挖矿木马的骚扰，严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢？首先了解一下什么是挖矿每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块。而比特币的发行是基于奖励的，每促成一个区块的生成，该节点便获得相应奖励，这样大家就有动力投入资金去维护整个交易网...

记·Linux挖矿病毒应急响应

chongya927的博客

03-01

2629

Linux挖矿病毒应急响应

Linux服务器挖矿病毒处理

自己在学习过程中的总结

06-19

3072

情况说明：挖矿进程被隐藏（CPU占用50%，htop/top却看不到异常进程），结束挖矿进程后马上又会运行起来（crontab -l查看发现没有定时任务）。1.中毒表现 2.解决办法：断网并修改root密码，找出隐藏的挖矿进程，关闭病毒启动服务，杀掉挖矿进程 3. 防止黑客再次入侵：查找异常IP，封禁异常IP，查看是否有陌生公钥。中毒表现：服务器是24核的，前12核的CPU占用一直处于100%，即使重启服务器，马上就会占用12核的CPU，并且系统内存占用也很大。在没有使用软件的情况下，CPU使用率很高。

蓝队-应急响应01-挖矿事件应急处置

jklove9的博客

02-08

1522

通常情况下会通过未授权访问漏洞，弱口令（口令爆破）等方式，具体是什么方式，还需要看被入侵的服务器具体开放了哪些端口或者服务？挖矿程序主要是利用GPU等资源进行挖矿操作，最直接的现象就是CPU拉满，消耗电力等。下述可以清楚看到，运行挖矿程序之后，查看CPU状态是拉满的，即100%。经过上述分析，基本确认是挖矿，确认挖矿之后，需要进一步探究挖矿程序是如何被上传？挖矿程序通常会有相应的配置文件，如下config.json所示，可以看到钱包地址，挖矿域名等。依据挖矿程序，全盘搜索，发现下述两个路径均存在挖矿程序。

挖矿应急响应

chongya927的博客

02-18

1046

Linux挖矿应急响应

挖矿病毒应急响应处置手册

最新发布

安全狐

03-21

874

通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下：服务器或PC访问过不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序，而不受信任的来源主要是：第三方情报结构，企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务，并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。

应急响应流程与挖矿病毒排查流程

three_1996的博客

03-29

872

汇总和整理事件应急全过程，提交处理报告总结事件引发的因素、制定相应的安全生产规范和制度，进行员工培训。

linux 处理挖矿

an74520的专栏

04-07

1515

查看crontab watch crontab -l 发现有定时脚本以下是脚本内容删除crontab挖矿脚本配置，并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.

Linux应急响应-挖矿（kdevtmpfsi）——事件复现（含样本）

W小哥

03-16

5385

此次复现挖矿清除不溯源，只是简单的记一下一、事件背景某天打开我的服务器，发现CPU飙到100%。肯定有问题，应该又被挖矿了服务器：Linux系统二、事件处理 2.1 top 查看cpu占用情况，找到占用cpu的进程最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常，看到陌生ip，查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了查看定时任务：crontab -l 删除定时任务：crontab -r 删除相关文件： find /

【应急响应篇】挖矿木马应急响应指南

大河之犬的博客

04-20

2170

大部分挖矿进程为了使程序驻留，会在当前服务器/主机中写入定时任务，若只清除挖矿木马，定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程。在发现挖矿现象后，在不影响业务的前提下应及时隔离当前服务器/主机，如禁用非业务使用端口、服务，配置 ACL 白名单，非重要业务系统建议先下线隔离，再做排查。所以在查看进程时，无论是看似正常的进程名还是不规则的进程名，只要是 CPU 占用率较高的进程都要逐一排查。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动，会在系统中添加启动项。在用户 home 目录的。

网络安全应急响应----6、挖矿攻击应急响应

七天

03-21

2万+

文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御一、挖矿木马简介挖矿：每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块。而比特币的发行是基于奖励的，每促成一个区块的生成，该节点便获得相应

Linux挖矿病毒事件应急响应演练(dbused木马)

Li-D的博客

11-17

7760

环境准备 **攻击机**：kali（192.168.130.131） **靶机**：Ubuntu（192.168.130.138）攻击阶段（1）通过端口扫描工具，对服务器进行端口探测尝试，发现开启了22端口；（2）通过hydra工具暴力尝试破解用户名和密码，发现暴破成功，用户名为：root/root （3）在攻击机上准备挖矿病毒（4）接下来进行攻击入侵，等待脚本运行 应急响应 检测阶段（1）查看服务器系统整体运行情况，发现名为dbused的可疑进程大量占用系统CPU使用率（2）查看是否存

linux处理挖矿

weixin_38689747的博客

05-31

129

处理挖矿病毒 1清tmp的执行文件 2清ssh无密登录 3清bin下的执行文件 etc 4清软链 5清守护进程 6清理crontab 参考 https://cloud.tencent.com/developer/article/1929179

挖矿应急响应小结

bloodzer0

03-04

1180

背景：总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析当服务器或PC处于什么样的状态时，我们可以判定为被挖矿。通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。常见挖矿其它特征如下：服务器或PC访问[过]不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...

忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应

m0_61431042的博客

06-17

1048

随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...

linux挖矿病毒查杀

09-10

要查杀Linux挖矿病毒，首先需要识别病毒的特征。根据引用提供的信息，挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而，为了更好地隐藏自己，一些挖矿病毒会控制CPU的占用率，使其保持在50%以下，这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此，如果系统出现异常的CPU占用率，但是无法通过传统命令看到高占用CPU的进程，这可能是挖矿病毒的一种表现。引用中提到的挖矿病毒还可能修改DNS记录，以防止病毒无法访问矿池或代理服务器。因此，检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS记录被修改，可以通过还原DNS记录来阻止挖矿病毒的连接。引用还提到，停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动，可以检查计划任务以查看是否有可疑的任务，然后停止这些任务来阻止病毒的继续操作。综上所述，查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。