购物网站建设比较好的,徐州云龙区建设局网站,郑州十大平面设计公司排名,android网站开发实例Linux与Windows系统挖矿程序深度清理指南#xff1a;从排查到根治
一、挖矿程序的核心特征与危害
挖矿程序为实现持久化控制#xff0c;常采用以下手段#xff1a;
网络后门#xff1a;与黑客C2服务器通信#xff0c;持续接收指令计划任务/自启动#xff1a;通过cront…Linux与Windows系统挖矿程序深度清理指南从排查到根治
一、挖矿程序的核心特征与危害
挖矿程序为实现持久化控制常采用以下手段
网络后门与黑客C2服务器通信持续接收指令计划任务/自启动通过crontab、systemd等实现开机自启SSH公钥植入免密登录权限反复植入恶意文件文件劫持修改ld.so.preload劫持系统命令隐藏自身进程系统账号创建新建后门账号长期控制主机
二、Linux系统挖矿全面清理方案
1. 紧急阻断网络通信第一优先级
目的切断挖矿程序与黑客服务器的联系防止数据泄露和进一步攻击。
# 查看当前网络连接重点关注Foreign Address中的可疑IP
netstat -antp# 阻断指定C2地址需替换为实际可疑IP
iptables -A INPUT -s 1.2.3.4 -j DROP
iptables -A OUTPUT -d 1.2.3.4 -j DROP2. 清除计划任务根治反复挖矿的关键
挖矿程序常通过定时任务定期下载更新需排查所有计划任务路径
# 查看当前用户计划任务
crontab -l
# 查看指定用户计划任务如root
crontab -u root -l# 系统全局计划任务文件重点检查以下路径
ls -la /etc/crontab
ls -la /var/spool/cron/
ls -la /etc/cron.d/
ls -la /etc/cron.hourly/ /etc/cron.daily/ /etc/cron.weekly/ /etc/cron.monthly/操作删除包含wget、curl下载挖矿程序或执行可疑脚本的任务行。
3. 排查与清除自启动服务
# 列出所有已启用的自启动服务
systemctl list-unit-files | grep enabled# 查看服务配置文件替换service_name为实际服务名
ls -al /etc/systemd/system/*.service
ls -al /usr/lib/systemd/system/*.service
cat /etc/systemd/system/service_name.service# 禁用并删除恶意服务替换service为服务名
systemctl disable service
rm /etc/systemd/system/service.service
rm /usr/lib/systemd/system/service.service# 传统启动脚本路径适用于旧系统
ls -al /etc/rc.local /etc/inittab /etc/rc.d/ /etc/init.d/4. 清除SSH后门公钥
黑客常将公钥写入authorized_keys实现免密登录
# 检查当前用户和root的SSH公钥
cat ~/.ssh/authorized_keys
cat /root/.ssh/authorized_keys# 删除可疑公钥示例删除包含特定字符串的行
sed -i /cKtXBjj/d ~/.ssh/authorized_keys5. 修复.so劫持隐藏进程的常见手段
# 检查预加载的.so文件正常应为空
cat /etc/ld.so.preload# 清除劫持恢复默认配置
echo /etc/ld.so.preload6. 排查与删除恶意账号
# 通过日志查看新增账号记录
cat /var/log/audit/audit.log | grep useradd
cat /var/log/secure | grep new user# 列出所有系统用户检查是否有异常用户名
cut -d: -f1 /etc/passwd# 查看用户目录创建时间关注近期创建的账户
stat /home/username# 删除异常用户以shaojiang99为例
chattr -i /etc/passwd /etc/shadow
sed -i /^shaojiang99:/d /etc/passwd
sed -i /^shaojiang99:/d /etc/shadow7. 对抗文件防修改属性chattr保护
部分挖矿程序会给关键文件设置i属性不可修改
# 移除防修改属性以passwd和crontab为例
chattr -i /etc/passwd
chattr -i /etc/crontab
chattr -R -i /var/spool/cron/8. 定位与终止挖矿进程
# 查看高CPU占用进程-c显示完整命令行
top -c
ps -eo pid,ppid,cmd,%cpu --sort-%cpu | more# 查看异常网络连接
netstat -antp# 获取进程文件路径替换$PID为实际进程ID
ls -al /proc/$PID/exe# 计算文件MD5用于威胁情报查询
md5sum /proc/$PID/exe# 终止进程并删除文件
kill -9 $PID
rm /path/to/malicious/file三、特定挖矿家族深度清理案例
1. 伪装AliyunDuns的挖矿
# 排查自启动服务包含xmrig、sysetmd等关键字
grep -rlE --donate-level|xmrig|/opt/sysetmd|A_li_yun_Duns /etc/systemd/system/*
grep -rl wget /etc/cron.hourly/*# 删除恶意服务与计划任务
rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/cron.hourly/0
chattr -i /etc/cron.hourly/02. Skidmap挖矿程序
# 清除恶意服务文件注意清空文件内容或删除
echo /lib/systemd/system/systemd-cgroup.service
rm -f /usr/bin/systemd-cgroup3. Cleanfda挖矿修改系统命令
# 恢复被篡改的命令ps、top等
mv /bin/ps.original /bin/ps
mv /bin/top.original /bin/top# 清除可疑计划任务
sed -i /upat.sh/d /etc/crontab
rm -rf /etc/upat.sh /tmp/upat.sh四、Windows系统挖矿应急处理
1. 排查高CPU占用进程
# 实时监控CPU占用前15个进程
ps | sort -des cpu
While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}2. 获取进程详细信息
# 查看进程路径与启动参数替换xxx为PID
wmic process where processidxxx get processid,executablepath,commandline,name3. 检查网络连接与hosts文件
# 查看指定端口连接替换xxx为端口号
netstat -ano | findstr xxx# 检查hosts文件是否被添加矿池域名
type C:\Windows\System32\drivers\etc\hosts4. 清除计划任务
# 列出所有计划任务
schtasks /query五、深度感染的终极解决方案
若手动清理无效如病毒篡改系统内核、驱动建议采取以下措施
立即备份重要数据避免清理过程中数据丢失重置服务器系统Linux可通过镜像重建Windows可恢复出厂设置重建后强化安全 关闭不必要的端口如SSH 22、远程桌面3389启用防火墙仅允许必要服务通信定期更新系统补丁使用强密码策略
六、安全防护最佳实践
实时监控使用htop、iftop等工具监控资源与网络日志审计开启auditd记录系统关键操作自动化脚本编写定时任务检查计划任务、自启动服务的变更威胁情报定期将可疑文件MD5提交至VirusTotal等平台查询
通过以上步骤可系统性排查并清除挖矿程序同时结合安全防护措施防止再次感染。建议将关键操作记录日志以便溯源和后续安全审计。
