导语
CPU占用率突然飙至100%，系统响应缓慢甚至宕机——这是Linux服务器遭遇挖矿木马的典型症状。据统计，2023年全球企业因加密货币挖矿攻击导致的经济损失超45亿美元，其中70%的攻击发生在未及时修补的Linux服务器上。本文提供「3步闪电排查法」+ 开源猎杀工具包，助你30分钟内终结挖矿木马！

一、第一招：进程与资源分析

1.1 快速锁定高负载进程

# 查看CPU占用排序（过滤异常进程名）
top -b -n 1 | awk 'NR>7 && $9>80 {print $0}' | sort -k9 -nr

# 检测隐藏进程（对比/proc与ps输出）
ls /proc | grep '^[0-9]\+#39; | sort -n | uniq -c | grep -vE '^1'
ps auxf | awk '{print $2}' | sort -n | uniq -c | grep -vE '1'

# 监控实时资源消耗（重点关注内存异常）
htop -P '%MEM>50'  # 显示内存占用超50%的进程

1.2 挖矿木马特征识别

• 进程命名伪装：伪装成系统进程（如systemd、kworker）或随机字符串（如x1234 miner）
• 异常CPU亲和性：绑定特定CPU核心（通过taskset -p <PID>检测）
• 持续磁盘写入：挖矿程序常生成日志文件（如/tmp/minerd.log）

案例：某企业内网服务器因Redis未授权访问被植入门罗币挖矿脚本，攻击者通过crontab定时执行/tmp/miner.sh，导致CPU持续满载。

二、第二招：网络流量溯源

2.1 检测异常外连行为

# 监控实时外连IP（过滤非常用端口）
iftop -P -N -i eth0 | grep -E 'ESTABLISHED.*:[0-9]+' | awk '{print $1}' | sort | uniq -c | sort -nr

# 检测DNS隐蔽信道（高频域名解析）
tcpdump -i eth0 -n 'udp port 53 and (length > 50)' | awk '{print $3}' | cut -d. -f1-4 | sort | uniq -c

# 分析连接时长（挖矿木马常维持长连接）
ss -tnp | grep ESTAB | awk '{print $6}' | cut -d, -f2 | sort | uniq -c

2.2 关键IoC检测

• C2服务器域名：挖矿木马常用动态域名（如*.pool.minexmr.com）
• P2P通信特征：检测STUN/TURN协议（部分木马使用NAT穿透技术）
• 矿池握手包：通过strings提取流量中的矿池标识（如stratum+tcp://）

工具推荐：

• Wireshark：深度解析流量载荷（过滤udp.port == 3333检测XMRig通信）
• Zeek：自动生成网络行为报告（检测异常协议使用）

三、第三招：文件与持久化清除

3.1 挖矿程序定位

# 搜索可疑二进制文件（重点关注/tmp、/dev/shm等临时目录）
find / -type f $ -name "*miner*" -o -name "*coin*" $ -mtime -1 -ls

# 检测异常ELF文件（对比文件哈希）
rpm -qf /usr/bin/$(basename <可疑文件路径>)  # 验证系统自带文件
sha256sum <可疑文件路径> | grep -vE '官方哈希值'  # 对比已知干净文件

# 查找隐藏符号链接（攻击者常用伪装手段）
find / -type l -exec ls -l {} \; | grep -E '-> /tmp/.*miner'

3.2 彻底清除挖矿组件

# 终止恶意进程链（含父子进程）
pkill -9 -f 'minerd|xmr-stak|cryptonight'

# 删除定时任务（常见于/etc/cron*）
crontab -u root -l | grep -vE 'curl|wget|bash' | crontab -u root -

# 清理残留文件（含内核模块注入）
rm -f /tmp/minerd /dev/shm/.X11-unix/X0 /lib/modules/$(uname -r)/extra/malicious.ko

# 重置SSH密钥（防御横向移动）
ssh-keygen -R $(hostname)

工具包清单：

四、防御升级：构建反挖矿体系

4.1 自动化拦截策略

# 使用iptables封禁矿池域名解析
iptables -I OUTPUT -p tcp --dport 3333 -m string --string "stratum+tcp" --algo bm -j DROP

# 限制容器逃逸（针对Kubernetes环境）
docker run --cpus="1.0" --memory="512m"  # 限制资源配额

# 配置Fail2ban自动封禁（匹配挖矿特征）
echo "failregex = ^<HOST> - - .*\"GET \/.*\.js.*pool.minexmr.com" >> /etc/fail2ban/filter.d/miner.conf

4.2 系统加固方案

• 最小化暴露面：通过firewalld仅开放必要端口（如SSH 22）
• 权限隔离：使用AppArmor限制关键进程权限（aa-enforce /etc/apparmor.d/usr.sbin.mysqld）
• 补丁管理：定期更新高危组件（如OpenSSL、Redis）

五、事后复盘与监控

5.1 攻击时间线重构

# 提取系统日志时间戳（精确到秒级）
journalctl --since "2024-03-01 00:00:00" --until "2024-03-01 03:00:00" | grep -E 'Accepted|Failed'

# 分析进程启动链（检测cron滥用）
ps -eo pid,lwp,cmd,%mem,%cpu --sort=-%cpu | head -n 20

5.2 长期监控方案

• 行为基线建模：使用Wazuh检测异常进程行为（如非业务时间CPU突增）
• 威胁情报联动：接入Shodan实时扫描暴露端口（curl https://api.shodan.io/shodan/host/search?q=product:Redis）

结语
挖矿木马的隐蔽性远超想象——它们会伪装成系统服务、劫持定时任务，甚至利用内核漏洞长期潜伏。记住：每一秒的延迟都意味着算力流失与电费损失！立即用本文的3招检查你的服务器，评论区分享你的排查经历，点赞前三名赠送《Linux反挖矿作战手册》（含50个真实案例解析）！

#Linux#