紧急排查挖矿木马_服务器CPU 200%狂飙.docx
25墨值下载
【第一部分:紧急排查三板斧(定位元凶)】
当收到监控告警(如
Zabbix
、
Prometheus
)或发现服务器响应极慢时,不要
慌张,按照以下步骤快速定位问题。
1.
快速定位异常进程(
TOP
命令)
这是最直接有效的第一步。
top -c
-c
参数可以查看命令的完整路径,按
P
可以按照
CPU
利用率的大小查
看进程,找到占用
CPU
资源最高的进程。
2.
分析可疑进程网络连接(
netstat/ss
命令)
挖矿木马必须与矿池通信。
#
推荐使用
ss
,比
netstat
更高效
netstat -antlp | grep <
可疑进程的
PID>#
或者查
看所有外部连接
ss | grep "ESTAB"
3.
定位进程执行文件
找到进程的“老巢”,才能彻底清除。
#
方法一:通过
PID
查找
ls -l /proc/<PID>/exe
#
方法二:使用
pwdx
命令查找进程的工作目录
pwdx <PID>
【进阶排查】如果以上步骤找不到异常(高级隐藏手段)
木马可能使用了
kill -STOP
自隐藏或劫持了系统命令。
使用未受污染的命令: 使用
busybox
来执行命令,因为它通常是静态编
译,不易被篡改。
busybox topbusybox netstat-antp
检查系统定时任务: 挖矿木马最喜欢通过定时任务实现持久化。
#
查看当前用户的
crontab-l #
查看系统级的
cat /etc/crontab #
检查这些目录
ls-la
/etc/cron.d/ /etc/cron.hourly/
检查系统服务: 检查是否有可疑的新服务。
systemctl list-units --type=service --state=running
检查开机启动项:
ll /etc/rc.d/rc[0-6].d/
【第二部分:清理与加固(斩草除根,巩固防线)】
找到元凶后,不要立即删除文件,先按步骤清理。
1.
清除恶意进程
# 1.
暂停进程(防止它继续作恶和
fork
新进程),
# kill -STOP
之后的进程可以使用
ps
aux
查看,或者查找状态为
T
的进程
kill-STOP<PID>
# 2.
彻底杀死进程树(非常重要!)
#
方法一:使用
pkill
根据进程名杀
pkill -9 -f "
恶意
进程名
"
of 5
25墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论