# 服务器被植入挖矿木马CPU飙升200%的解决过程

## 事件背景

2023年5月，某互联网公司的运维团队突然收到多台生产服务器的CPU使用率告警。监控系统显示，部分服务器的CPU使用率从正常范围的30%飙升至200%以上，导致核心业务系统响应缓慢，部分用户请求超时。

## 第一阶段：问题现象分析

### 1.1 异常指标确认
- **监控图表**显示CPU使用率呈现"锯齿状"波动（每10分钟出现一次峰值）
- **top命令**查看发现异常进程`kthreadd/0`占用380%CPU
- **网络流量**异常：出向流量较平日增加200Mbps

### 1.2 初步判断依据
```bash
ps auxf | grep -E 'kthreadd|stranges'
发现可疑进程树：
/usr/bin/.sshd -o stratum+tcp://xmr.pool.com:443 -u 49xx...xxx -p x

第二阶段：入侵溯源调查

2.1 系统日志分析

grep -i 'accepted' /var/log/secure
发现可疑登录：
May 15 03:21 sshd[28761]: Accepted password for root from 185.143.223.xx

2.2 恶意文件定位

通过rpm -Va校验系统文件完整性，发现异常：

..5....T.    /usr/bin/curl
.M.......    /etc/cron.hourly/gcc.sh

2.3 入侵路径还原

时间线重建： 1. 攻击者通过弱密码爆破获得root权限 2. 植入持久化后门： - /etc/rc.local添加开机启动项 - 创建恶意cron任务（*/10 * * * *） 3. 下载挖矿程序伪装为kthreadd内核进程

第三阶段：应急响应措施

3.1 立即处置动作

1. 网络隔离：

   
   iptables -A OUTPUT -d xmr.pool.com -j DROP
   

2. 进程终止：

   
   kill -9 $(pgrep -f 'stratum+tcp')
   

3. 临时清理：

   
   rm -f /tmp/.X11-unix/.rsync/c
   chattr -i /etc/cron.hourly/gcc.sh
   

3.2 深度清理方案

1. 查找所有可疑文件：

find / -mtime -3 -type f \( -name "*.sh" -o -name "*.config" \)

1. 清除恶意账户：

userdel -r games 
passwd -l root

1. SSH加固：

sed -i 's/PasswordAuthentication yes/no/' /etc/ssh/sshd_config

第四阶段：安全加固

4.1 系统级防护

1. 安装HIDS工具：

wget https://ossec.net/files/ossec-agent-3.7.0.tar.gz

1. 内核参数调优：

# /etc/sysctl.conf
kernel.core_uses_pid = 1
kernel.kptr_restrict = 2

4.2 挖矿木马专项防护

1. 使用XMRig黑名单：

iptables -N XMR_BLOCK
curl -s https://raw.githubusercontent.com/xxx/xmr-nodes.txt | xargs -I{} iptables -A XMR_BLOCK -d {} -j DROP

1. 文件监控策略：

# auditd规则
-w /usr/bin/ -p wa -k system_bin
-w /etc/cron.* -p wa -k cron_config

第五阶段：事后复盘

5.1 事件根本原因

5.2 技术收获

1. 挖矿木马新型特征：

   • 使用libprocesshider隐藏进程
   • 通过DNS-over-HTTPS通信
   • 感染Docker容器逃逸

2. 有效检测手段： “`bash

   检测CPU异常进程

   ps -eo pcpu,pid,args –sort=-pcpu | head -10

# 检查隐藏模块 lsmod | grep -E ‘libprocesshider|kinsing’

## 完整处置清单

### 6.1 必须检查的项目
1. 用户账户：
   ```bash
   awk -F: '($3 == 0) {print}' /etc/passwd

1. 定时任务：

   for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
   

2. 启动项：

   systemctl list-unit-files --state=enabled
   

6.2 推荐工具集

总结与建议

1. 预防性措施：

   • 部署EDR解决方案（如Falco）
   • 定期进行红蓝对抗演练
   • 实现网络微隔离

2. 监控优化： “`yaml

   Prometheus告警规则示例

   • alert: CryptoMining expr: sum(rate(node_cpu_seconds_total{mode=“system”}[5m])) by (instance) > 0.8 for: 10m

   ”`

3. 应急响应流程：

   发现异常 → 初步遏制 → 影响评估 → 根因分析 → 恢复处置 → 复盘改进
   

通过本次事件，我们建立了更完善的云主机安全防护体系，后续同类型攻击的成功率下降92%。建议企业参考MITRE ATT&CK框架的TA0042战术（资源劫持）构建防御矩阵。 “`

注：本文为模拟案例，实际处置时应根据环境调整命令。文中涉及的IP/域名已做脱敏处理，所有技术方案需经过测试环境验证后再应用于生产系统。