笙亿网络策划

如何排查服务器异常外连流量是否被植入挖矿木马?

约 6 分钟读完 38 阅
文章导读
发现服务器存在异常外连流量时,若同时观察到 CPU 使用率持续高位,大概率是感染了挖矿木马。建议优先切断网络连接防止扩散,再按进程、启动项、文件属性的顺序清理。
📋 目录
  1. 命令速用版
  2. 为什么会这样
  3. 分步处理
  4. 怎么验证是否生效
  5. 常见坑
A A

发现服务器存在异常外连流量时,若同时观察到 CPU 使用率持续高位,大概率是感染了挖矿木马。建议优先切断网络连接防止扩散,再按进程、启动项、文件属性的顺序清理。

先说结论:异常外连流量叠加 CPU 满载是挖矿木马的典型特征,需立即隔离主机。

  • 先判断:确认流量目标是否为矿池端口(如 3333、5555)且连接持久。
  • 优先做:通过安全组或防火墙阻断外联,防止病毒下载新模块或横向传播。
  • 再验证:清理后监控 CPU 和网络连接,确保无进程复活。

命令速用版

以下命令可用于快速定位异常进程和网络连接,Linux 系统推荐使用:

# 查看占用 CPU 最高的前 5 个进程
top -b -n 1 | head -n 6

# 查看异常网络连接(关注 3333/5555/7777 端口,ss 为 netstat 替代方案)
ss -antp | grep -E '3333|5555|7777'

# 若系统未安装 ss,可尝试 netstat(需安装 net-tools)
# netstat -antp | grep -E '3333|5555|7777'

# 查看当前所有定时任务
crontab -l
cat /etc/crontab

# 查找被锁定无法删除的文件属性
lsattr /path/to/suspicious/file

# 解锁被锁定的文件(关键步骤)
chattr -i /path/to/suspicious/file

Windows 系统可使用 PowerShell 或命令行:

# 查看网络连接及对应进程 ID
netstat -ano | findstr ESTABLISHED

# 查看 CPU 占用最高的进程
Get-Process | Sort-Object CPU -Descending | Select-Object -First 5

威胁情报查询:获取异常外连 IP 后,可通过公共威胁情报平台(如 VirusTotal、阿里云威胁情报中心等)查询该 IP 信誉,确认是否为已知矿池地址。

为什么会这样

挖矿木马的核心目的是窃取计算资源生成虚拟货币,因此必然产生两个显著特征:一是计算密集导致 CPU 或 GPU 占用率长期居高不下;二是需要与矿池服务器通信提交算力,从而产生异常的外连流量。

攻击者通常会将恶意进程伪装成系统进程(如 kworker、svchost 等),并通过定时任务或系统服务实现持久化。部分高级木马还会修改系统动态链接库加载配置或利用文件属性锁定来对抗查杀,导致单纯结束进程后病毒很快复活。

分步处理

1. 紧急隔离与阻断

如何排查服务器异常外连流量是否被植入挖矿木马?

在清理前必须先切断木马与外界的联系。如果是云服务器,立即通过控制台安全组策略,仅保留 SSH 或远程桌面管理端口,阻断其他所有出入流量。若有内网环境,需防止病毒通过 SMB 等漏洞横向扩散到其他机器。

2. 定位并查杀进程

使用 top 或任务管理器找到 CPU 占用异常的进程 PID。注意进程名可能是随机字符或伪装成常见服务。记录进程对应的文件路径(Linux 下可通过ls -l /proc/PID/exe查看)。

风险提示:结束进程前务必确认该进程非核心业务服务。若不确定,可先暂停服务或备份后再操作。

然后强制结束进程。若进程无法杀死或结束后立即重启,说明有守护进程或定时任务在保护,需继续排查启动项。

3. 清除持久化机制

如何排查服务器异常外连流量是否被植入挖矿木马?

检查定时任务是关键步骤。Linux 下检查/var/spool/cron//etc/cron.d/等目录;Windows 下检查计划任务和服务启动项。发现不明脚本链接(如 curl/wget 下载命令)或异常条目立即删除。

4. 处理隐藏文件与后门

部分木马文件被加上了不可修改属性(i 属性),需先解锁再删除。使用chattr -i /path/to/file解锁后,再执行rm删除。同时检查~/.ssh/authorized_keys文件,删除未授权的公钥,防止攻击者免密登录。

5. 检查动态链接库劫持

对于 Linux 系统,检查/etc/ld.so.preload文件是否为空。

高风险操作警告:修改该文件前务必备份(cp /etc/ld.so.preload /etc/ld.so.preload.bak)。若该文件被写入恶意库路径,会导致所有程序运行前加载恶意代码。需备份后清除异常内容,错误修改可能导致系统命令瘫痪。

怎么验证是否生效

清理完成后,持续观察系统资源状态至少 30 分钟。使用 top 或监控面板确认 CPU 使用率是否回落到正常业务水平。再次运行网络检查命令,确认没有可疑的外连连接复活。若服务器之前因挖矿导致卡顿,此时系统响应速度应明显恢复。

常见坑

  • 进程杀不死:很多时候是因为有父进程或定时任务在守护,只杀子进程无效,必须找到并清理启动项。
  • 文件删不掉:遇到Operation not permitted错误,通常是因为文件被加了i属性,需用chattr -i解锁。
  • 忽略隐藏通道:部分木马会使用 443 端口伪装成 HTTPS 流量,此时需检查 SSL 证书有效性,恶意连接通常使用自签名证书。
  • 未改弱口令:挖矿木马常通过弱口令传播,清理后务必修改系统密码和 SSH 密钥,否则容易再次感染。