ECScpu和内存高达100%Linux系统CPU异常占用:minerd、tplink等挖矿进程
说明:本文提到的挖矿程序排查场景,仅为技术人员提供故障排查思路,不保证与攻击者实际使用方式一致,具体场景以实际情况为准。
问题描述
云服务器ECSLinux服务器上CPU使用率超过70%,严重时可达到100%,或者服务器响应越来越慢。
原因分析
恶意minerd、tplink进程
在服务器上运行top命令,结果如下:
top
可以看到,有一个minerd(或tplink)的异常进程,占用了大量CPU资源。该进程是服务器被入侵后,被恶意安装的比特币挖矿程序,一般存在于/tmp/目录下。
如果使用top命令查看不到所述进程,可以用ps命令检查相关进程。例如,
ps
可以看到,服务器中存在这个进程。如果它不是您主动开启的,则很可能是被入侵所致。服务器被恶意利用来挖比特币。
隐藏的恶意模块
黑客通过驱动rootkit程序入侵主机,并部署隐藏挖矿程序,CPU使用率可能达到90-100%。该场景无法通过top命令和ps命令来检测确认。
处理方案
恶意minerd、tplink进程
使用如下命令,通过PID获取对应文件的路径。然后,找到并删除对应的文件。
ls-l/proc/$PID/exe
其中,$PID为进程对应的PID号,可以通过ps或者top获取。
使用kill命令关闭进程。
建议您平时增强服务器的安全维护,优化代码,以避免因程序漏洞等导致服务器被入侵。
隐藏的恶意模块
被隐藏的恶意模块一般有:raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用file/lib/udev/usb_control/...命令,分别检查是否存在以上模块。
例如,使用以下命令查看是否存在iptable_mac.ko模块:
file/lib/udev/usb_control/iptable_mac.ko
结果所示,表明存在隐藏的iptable_mac.ko模块。
