中文字幕精品av乱码在线,亚洲色大成网站www永久一区,亚洲精品无码久久久久久久,综合亚洲综合图区网友自拍,亚洲国产成人无码电影

最新活動 周年慶典

產(chǎn)品

硅云幫助文檔中心

搜索文檔

熱門搜索詞:

服務器被植入挖礦木馬自助排查清理手冊

更新時間:2025-06-16?18:06 ?版本:v1.0
分享到: ? ?
我要反饋?
收藏 我的收藏

挖礦木馬會占用CPU進行超頻運算,從而占用主機大量的CPU資源,嚴重影響服務器上的其他應用的正常運行。

黑客是怎么入侵的?

黑客為了得到更多的算力資源,一般都會對全網(wǎng)進行無差別掃描,同時利用SSH爆破、各種漏洞等手段攻擊主機。部分挖礦木馬還具備蠕蟲化的特點,在主機被成功入侵之后,挖礦木馬還會向內網(wǎng)滲透,并在被入侵的服務器上持久化駐留以獲取最大收益。

如何簡單判斷是否被入侵?

挖礦木馬會在用戶不知情的情況下利用主機的算力進行挖礦,最明顯的特征就是主機的CPU被大量消耗,查看云主機CPU占用率的方法有兩種:

1、通過硅云管理控制臺的資源監(jiān)控功能進行查看,通過圖形化的CPU監(jiān)控,該項監(jiān)控室最準確的。

2、通過登錄服務器系統(tǒng)內進行查看(linux系統(tǒng)執(zhí)行top命令查看、Windows系統(tǒng)打開任務管理器查看)


如果在系統(tǒng)內top命令發(fā)現(xiàn)高占用CPU的異常進程,則需考慮是否為挖礦木馬,這種是最簡單的木馬,它根本沒有做任何隱藏,排查困難點的是做了蹤跡隱藏的木馬,可以按照以下方法繼續(xù)排查。


1、通過查看以上兩種狀態(tài)下的CPU占用情況,根據(jù)情況來分析:


1、如果在硅云控制臺查看到CPU滿載或高負載,但是在云服務器系統(tǒng)內檢查CPU的綜合負載并不高,這種情況基本可以斷定被植入了木馬,木馬已經(jīng)隱藏了自己。

2、如果在硅云控制臺查看到CPU滿載或高負載,在系統(tǒng)內top命令查看到綜合CPU使用率很高,但是各項進程所占CPU負載都不高,加起來和總占用CPU差距非常大,這同樣說明該木馬進程將系統(tǒng)命令篡改了,從而隱藏了木馬進程的蹤跡。


2、通過系統(tǒng)防火墻的規(guī)則檢查

原理:挖礦木馬不僅會連接礦池,還有可能會連接黑客的C2服務器,接收并執(zhí)行C2指令、投遞其他惡意木馬,所以可以通過排查是否有異常的規(guī)則來判斷,并及時進行網(wǎng)絡阻斷。


①檢查主機防火墻當前生效的iptables規(guī)則中是否存在業(yè)務范圍之外的可疑地址和端口,它們可能是挖礦木馬的礦池或C2地址:

iptables -L -n


②從iptables規(guī)則中清除可疑地址和端口:

vi /etc/sysconfig/iptables


③阻斷挖礦木馬的網(wǎng)絡通信:

iptables -A INPUT -s 可疑地址 -j DROP
iptables -A OUTPUT -d 可疑地址 -j DROP


3、通過計劃任務檢查


可以通過執(zhí)行如下命令查看是否存在可疑定時任務,若有,則先保存相關記錄用于后續(xù)分析,再進行刪除:  查看系統(tǒng)當前用戶的計劃任務:

crontab -l


查看更多計劃任務:

cat /etc/crontab
cat /var/spool/cron
cat /etc/anacrontab
cat /etc/cron.d/
cat /etc/cron.daily/
cat /etc/cron.hourly/
cat /etc/cron.weekly/
cat /etc/cron.monthly/
cat /var/spool/cron/



4. 清除啟動項

除了計劃任務,挖礦木馬通過添加啟動項同樣能實現(xiàn)持久化。可以使用如下命令查看開機啟動項中是否有異常的啟動服務。

CentOS7以下版本:

chkconfig –list


CentOS7及以上版本:

systemctl disable 服務名

更多詳細的參考

以內部分內容參考的【相關文章】https://www.cnblogs.com/angryprogrammer/p/13456681.html



您對該文檔有什么建議?

您對該文檔的評分:

本文導航

黑客是怎么入侵的?

如何簡單判斷是否被入侵?

更多詳細的參考

搜索文檔