Linux 服务器挖矿木马防护实战:快速切断、清理与加固
引言
挖矿木马作为一种常见的恶意软件,对服务器资源和安全构成严重威胁。据安全机构统计,2023 年全球约 45%的 Linux 服务器遭受过挖矿木马攻击,平均每台被感染服务器每月造成 300-500 美元的额外电费支出。
本文将围绕三个核心环节,详细讲解应对挖矿木马的完整防护方案:
- 快速响应:第一时间切断攻击路径
- 全面清理:系统性清除感染源
- 系统加固:建立长效防护机制
一、快速响应:切断攻击路径
1.1 网络层面阻断
💡 首要任务是切断攻击者的通信渠道,防止进一步的数据泄露和控制指令。
# 1. 识别可疑连接(常见矿池端口)
netstat -antp | grep -E ":(3333|14444|14433|3357)"# 2. 阻断攻击IP(注意保存规则防止重启失效)
iptables -A INPUT -s <攻击IP> -j DROP
iptables -A OUTPUT -d <攻击IP> -j DROP
iptables-save > /etc/iptables/rules.v4
1.2 用户权限隔离
🔑 清理受感染账户的访问权限,防止攻击者重新登录。
# 1. 修改用户密码
passwd <用户名># 2. 清理SSH密钥(为什么要这样做?防止攻击者留下后门)
find / -name "authorized_keys" -exec rm -f {} \;# 3. 限制SSH访问(仅允许特定IP)
echo "sshd: 192.168.1.0/24" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny
1.3 初步进程清理
⚡ 快速终止可疑进程,为后续深入清理争取时间。
# 自动化清理脚本(初步应急)
cat > /tmp/quick_clean.sh <<'EOF'
#!/bin/bash
# 清理常见挖矿进程
ps aux | grep -i "kswapd0\|kdevtmpfsi\|cryptonight\|minerd" | \awk '{print $2}' | xargs -I {} kill -9 {}
# 清理可疑网络连接
netstat -antp | grep -E ":(3333|14444|14433|3357)" | \awk '{print $7}' | cut -d'/' -f1 | xargs -I {} kill -9 {}
EOF
bash /tmp/quick_clean.sh
二、全面清理:系统性清除感染源
2.1 深度进程清理
🔍 通过多维度分析,确保不遗漏任何可疑进程。
# 1. CPU异常进程排查
ps aux --sort=-%cpu | head -10# 2. 可疑进程溯源(进阶技巧)
for pid in $(ps aux | awk '$3>80.0{print $2}'); doecho "=== PID $pid ==="ls -l /proc/$pid/exels -l /proc/$pid/cwdstrings /proc/$pid/cmdline
done
2.2 定时任务清理
⏰ 攻击者常用定时任务实现持久化,必须彻底清理。
# 综合清理脚本
cat > /usr/local/bin/cron_clean.sh <<'EOF'
#!/bin/bash
# 1. 清理用户定时任务
for user in $(cut -f1 -d: /etc/passwd); docrontab -u $user -l 2>/dev/null | grep -v "wget\|curl" | crontab -u $user -
done# 2. 检查系统定时任务
for cronfile in /etc/cron.d/* /etc/crontab /var/spool/cron/*; doif [ -f "$cronfile" ]; thencp "$cronfile" "$cronfile.bak"sed -i '/wget\|curl/d' "$cronfile"fi
done
EOF
chmod +x /usr/local/bin/cron_clean.sh
三、多服务器场景应急处理
3.1 通用应急脚本设计
🔄 面对多台服务器同时被攻击的情况,需要自动化工具提高响应效率。
malware_cleanup.sh
#!/bin/bash
# 普通用户清理木马脚本 (最终优化版)
# 功能:彻底清理恶意任务、文件和配置set -euo pipefailLOGFILE="$HOME/malware_cleanup_$(date +%Y%m%d%H%M%S).log"log() {echo "[INFO] $1" | tee -a "$LOGFILE"
}# 查询模块
query_high_cpu_processes() {log "查询 CPU 占用高的进程..."ps -u "$USER" -o pid,comm,args,%cpu --sort=-%cpu | head -n 10 | tee -a "$LOGFILE"
}query_crontab() {log "查询用户 crontab..."crontab -l 2>/dev/null | tee -a "$LOGFILE" || log "未设置 crontab 任务"
}# 清理模块
backup_crontab() {log "备份用户 crontab..."crontab -l > "$HOME/crontab_backup_$(date +%Y%m%d%H%M%S).bak" 2>/dev/null || log "未发现 crontab 任务"
}clean_crontab() {log "清理用户 crontab 中的恶意任务..."crontab -l | grep -vE "wget|curl|/tmp|/var/tmp|pwndns" | crontab - || log "crontab 清理完成"log "清理后用户 crontab 内容如下:"crontab -l 2>/dev/null | tee -a "$LOGFILE" || log "未设置 crontab 任务"
}validate_and_terminate_process() {local pid="$1"log "验证进程 PID=$pid..."# 检查进程运行命令路径local cmdline=$(cat /proc/"$pid"/cmdline 2>/dev/null || echo "无法读取")log "运行命令路径: $cmdline"# 检查进程打开的文件和网络连接log "检查进程 PID=$pid 的打开文件和网络连接..."lsof -p "$pid" | tee -a "$LOGFILE" || log "无法获取 PID=$pid 的文件信息"# 判断是否包含恶意路径if [[ "$cmdline" =~ "/tmp" || "$cmdline" =~ "/var/tmp" || "$cmdline" =~ "-bash" ]]; thenlog "确认 PID=$pid 是恶意进程,尝试终止..."kill -TERM "$pid" 2>/dev/null || log "无法优雅终止 PID=$pid,尝试强制终止"sleep 0.5kill -9 "$pid" 2>/dev/null || log "无法强制终止 PID=$pid,请人工检查"kill -0 "$pid" 2>/dev/null && log "PID=$pid 未成功终止" || log "PID=$pid 已成功终止"elselog "PID=$pid 未检测到明显异常,但建议人工确认"fi
}terminate_high_cpu_process() {log "获取当前用户 CPU 占用最高的进程..."local pid=$(ps -u "$USER" -o pid --sort=-%cpu | awk 'NR==2 {print $1}')if [ -z "$pid" ]; thenlog "未找到高 CPU 占用的进程,退出清理。"returnfivalidate_and_terminate_process "$pid"
}clean_malicious_files() {log "清理恶意文件和目录..."for file in /tmp/.pwn /tmp/-bash /var/tmp/.update /var/tmp/.systemd; doif [ -e "$file" ]; thenlog "删除文件或目录 $file"chattr -i "$file" 2>/dev/null || truerm -rf "$file"fidone
}clean_shell_configs() {log "清理 shell 配置文件..."for shell_file in "$HOME/.bash_profile" "$HOME/.bashrc" "$HOME/.profile"; doif [ -f "$shell_file" ]; thenlog "检查并清理 $shell_file"sed -i '/\/tmp\/-bash/d' "$shell_file"sed -i '/pw\.pwndns\.pw/d' "$shell_file"sed -i '/cp -f -r/d' "$shell_file"fidone
}main() {case "$1" inquery)query_high_cpu_processesquery_crontab;;clean)backup_crontabclean_crontabterminate_high_cpu_processclean_malicious_filesclean_shell_configs;;*)log "用法: $0 {query|clean}"exit 1;;esac
}main "$@"1. 清理恶意进程:
• 自动识别高 CPU 占用进程。
• 使用 validate_and_terminate_process 验证命令路径是否包含恶意目录 /tmp 或 /var/tmp,并强制终止。
2. 清理恶意文件:
• 针对目录如 /tmp/.pwn 增加了 rm -rf 的处理逻辑。
3. 清理 Crontab:
• 先备份后清理,避免误操作。
• 通过 grep -vE 排除常见恶意任务。
4. 清理配置文件注入:
• 针对 .bash_profile、.bashrc 等文件,删除可能的恶意代码行。
3.2 批量部署与执行
🚀 使用 Ansible 实现自动化部署和执行。
# playbook.yml
---
- hosts: allbecome: yestasks:- name: 复制应急脚本copy:src: cleanup_script.shdest: /tmp/cleanup_script.shmode: "0755"- name: 执行清理脚本shell: /tmp/cleanup_script.shregister: cleanup_result- name: 收集清理日志fetch:src: /var/log/malware_cleanup_*.logdest: logs/
3.3 执行效果监控
# 批量检查清理结果
ansible all -m shell -a "grep 'cleaned' /var/log/malware_cleanup_*.log"# 检查系统状态
ansible all -m shell -a "top -bn1 | head -5"
五、最佳实践与经验总结
5.1 核心经验
- 快速响应最关键
- 第一时间切断攻击者通信
#!/bin/bash
# 切断常见挖矿木马的通信端口和攻击者 IP
SUSPICIOUS_PORTS=("3333" "14444" "14433" "443")
for port in "${SUSPICIOUS_PORTS[@]}"; donetstat -antp | grep ":$port" | awk '{print $7}' | cut -d'/' -f1 | xargs -I {} kill -9 {}
done# 动态添加阻断规则(IP 示例)
iptables -A INPUT -s 192.168.1.100 -j DROP
iptables -A OUTPUT -d 192.168.1.100 -j DROP
iptables-save > /etc/iptables/rules.v4
- 保留必要的取证信息
#!/bin/bash
# 保存可疑进程、网络连接和关键文件信息
FORENSICS_DIR="/var/log/forensics"
mkdir -p $FORENSICS_DIR# 保存可疑进程信息
ps aux | grep -E "kswapd0|kdevtmpfsi|cryptonight|minerd" > "$FORENSICS_DIR/suspicious_processes.log"# 保存可疑网络连接
netstat -antp | grep -E ":(3333|14444|14433)" > "$FORENSICS_DIR/suspicious_connections.log"# 保存近期修改文件信息
find / -type f -mtime -7 > "$FORENSICS_DIR/recently_modified_files.log"
- 清理必须彻底
- 检查所有可能的持久化途径
#!/bin/bash
# 检查定时任务、启动项和动态链接库的持久化方式
LOGFILE="/var/log/persistence_check.log"echo "检查定时任务:" | tee -a $LOGFILE
for user in $(cut -f1 -d: /etc/passwd); docrontab -u $user -l 2>/dev/null | tee -a $LOGFILE
doneecho "检查系统启动项:" | tee -a $LOGFILE
systemctl list-unit-files --type=service | grep enabled | tee -a $LOGFILEecho "检查动态链接库预加载:" | tee -a $LOGFILE
cat /etc/ld.so.preload | tee -a $LOGFILE
- 使用自动化工具提高效率
#!/bin/bash
# 自动清理常见感染路径和文件
INFECTED_PATHS=("/tmp/.pwn""/tmp/-bash""/var/tmp/.system*""~/.bash_profile""~/.bashrc"
)
for path in "${INFECTED_PATHS[@]}"; doif [ -e "$path" ]; thenchattr -i $path 2>/dev/nullrm -rf $pathecho "已清理: $path"fi
done
- 预防胜于治疗
- 建立完善的监控体系:结合 rkhunter 和 auditd 等工具进行实时监控:
# 安装和配置 rkhunter
apt install rkhunter
rkhunter --update
rkhunter --check --sk
# 配置 auditd 监控关键文件
apt install auditd
auditctl -w /etc/passwd -p wa -k passwd_changes
auditctl -w /etc/shadow -p wa -k shadow_changes
auditctl -w /etc/ssh/sshd_config -p wa -k ssh_config_changes
# 定期生成审计报告
ausearch -k passwd_changes > /var/log/audit_passwd.log
ausearch -k ssh_config_changes > /var/log/audit_ssh.log
- 定期进行安全审计
借助 lynis 等工具进行全面安全检查:
# 安装 lynis
apt install lynis
# 执行安全审计
lynis audit system > /var/log/lynis_audit.log
# 检查审计报告
grep "VULNERABLE" /var/log/lynis_audit.log
5.2 常见误区
- ❌ 仅清理表面进程
- ❌ 忽略系统加固
- ❌ 未建立长期监控
5.3 未来建议
- 部署堡垒机集中管理
- 使用容器技术隔离应用
- 建立安全基线标准
参考资料
- NIST 网络安全框架
- CIS Linux 安全基线
- Linux 恶意代码分析手册
- Fail2ban 官方文档
