Linux应急响应实战：挖矿病毒分析与处置

1. 事件背景

某公司主机存储组报告服务器CPU占用异常，超负荷运行，安全人员介入调查后发现是挖矿病毒导致的持续性高CPU占用问题。

2. 初步排查

2.1 CPU占用检查

top -c -o %CPU

发现PID 6184占用CPU高达398%
问题最早可追溯到8个月前

2.2 进程检查

ps -aux
ps -aux | grep [PID]

确认异常进程及其执行路径

3. 病毒样本分析

3.1 样本获取

从异常进程路径拷贝可疑文件
计算MD5值进行验证：4499165a5b0f7ac6ddf9dcbbe1f5a4f1

3.2 在线分析

使用微步/腾讯等在线沙箱分析
确认为恶意远控文件

4. 守护进程分析

4.1 守护进程特点

独立于控制终端运行
不受用户登录/注销影响
持续运行直至系统关闭
突破终端限制在后台运行

4.2 守护进程排查

发现可疑服务：

所有者ID为1001的crun.service
创建时间为2022年（早于问题出现时间）

4.3 守护进程终止方法

查找守护进程：

ps axj | grep [守护进程名]
ps -ef | grep [守护进程名]

终止进程：

kill -9 [守护进程名]

5. 病毒工作机制分析

病毒样本分析结果：

采用重启策略
优先执行指向文件地址的目录
关闭文件或进程后会尝试自动重启
导致进程持续存在，难以直接删除

6. 处置步骤

删除crun.service文件
查杀相关进程
删除挖矿文件
清理/usr/lib/updated目录下的恶意文件
检查同网段其他服务器是否受影响

7. 修复建议

定期检查
- 定期查杀服务器可疑文件
- 定期检查系统管理器运行情况
安全配置
- 禁止服务器对外映射服务到公网
- 禁止上传未知文件到服务器
监控措施
- 实施实时监控CPU异常占用
- 建立异常进程告警机制
权限管理
- 严格控制服务账户权限
- 定期审计系统服务

8. 经验总结

挖矿病毒通常伴随高CPU占用
持久性攻击常利用守护进程机制
应急响应需关注异常服务项
完整清除需同时处理进程和守护机制
历史文件时间戳是重要排查线索

9. 扩展命令参考

检查计划任务：

crontab -l
ls -la /etc/cron*

检查系统服务：

systemctl list-units --type=service

检查网络连接：

netstat -antp
ss -antp

检查启动项：

ls -la /etc/init.d/
ls -la /etc/rc*.d/

Linux应急响应实战：挖矿病毒分析与处置 1. 事件背景某公司主机存储组报告服务器CPU占用异常，超负荷运行，安全人员介入调查后发现是挖矿病毒导致的持续性高CPU占用问题。 2. 初步排查 2.1 CPU占用检查发现PID 6184占用CPU高达398% 问题最早可追溯到8个月前 2.2 进程检查确认异常进程及其执行路径 3. 病毒样本分析 3.1 样本获取从异常进程路径拷贝可疑文件计算MD5值进行验证：4499165a5b0f7ac6ddf9dcbbe1f5a4f1 3.2 在线分析使用微步/腾讯等在线沙箱分析确认为恶意远控文件 4. 守护进程分析 4.1 守护进程特点独立于控制终端运行不受用户登录/注销影响持续运行直至系统关闭突破终端限制在后台运行 4.2 守护进程排查发现可疑服务：所有者ID为1001的crun.service 创建时间为2022年（早于问题出现时间） 4.3 守护进程终止方法查找守护进程：终止进程： 5. 病毒工作机制分析病毒样本分析结果：采用重启策略优先执行指向文件地址的目录关闭文件或进程后会尝试自动重启导致进程持续存在，难以直接删除 6. 处置步骤删除crun.service文件查杀相关进程删除挖矿文件清理/usr/lib/updated目录下的恶意文件检查同网段其他服务器是否受影响 7. 修复建议定期检查定期查杀服务器可疑文件定期检查系统管理器运行情况安全配置禁止服务器对外映射服务到公网禁止上传未知文件到服务器监控措施实施实时监控CPU异常占用建立异常进程告警机制权限管理严格控制服务账户权限定期审计系统服务 8. 经验总结挖矿病毒通常伴随高CPU占用持久性攻击常利用守护进程机制应急响应需关注异常服务项完整清除需同时处理进程和守护机制历史文件时间戳是重要排查线索 9. 扩展命令参考检查计划任务：检查系统服务：检查网络连接：检查启动项：