ubuntu服务器木马类挖矿程序排查、及安全管理总结

• 版本 24.04

由于GPU多卡服务器多人使用，需要链接隧道ssh等，容易中招挖矿脚本。

总的思路是，顺着进程的PID回溯最终的程序运行起点，这里可以先看一下日志：

journalctl -u PID

通过 PID 精确定位进程的信息，包括其启动命令、用户等。

ps -ef | grep PID

也可以是命令本身:

ps -ef | grep python

1. 基本排查

1.1 Top命令

这个是看cpu进程的命令，

一般程序的进程不可能100%， 如果是多核，那么多个100%， 就是40个核长期跑满，就是4000%

就是有脚本启动了程序长期高负载占用cpu。

1.2 Nvidia-smi命令

如果发现显卡被未知程序长期占用，那肯定也是挖矿程序

2. 删除木马

用top确定进程后，如果删除后又出现，说明有其他程序在定时启动它，需要排查隐藏的文件。

2.1 查询定时启动程序

• 定时任务文件包括 /var/spool/cron/root和 /etc/crontab, 使用vi或vim修改时会提示无法修改（文件被锁定了）,使用chattr可进行解锁，使用lsattr可以查看文件的锁定属性

crontab -l # 查看所有定时器

crontab -r # 全部清除定时任务

crontab -e # 编辑定时器

• 也可以通过文件查找

ubuntu的/etc目录下有cron.weekly、cron.daily、cron.hourly等存放定时任务的文件夹,

里面的脚本是否有/bin下的文件记录，就是可疑文件

2.2 查询守护进程

通过PID查看进程树：

systemctl status PID #这一步主要是插文件位置和守护进程的PID

或

strace -p

也可以：

cat /proc//stat

如果PPID（父进程 ID） 是 init（PID=1），说明它可能是一个守护进程。
如果TTY 字段是 0 或 ?，通常表明它是后台运行的。

找到守护进程的PID后，

systemctl stop PID #停止

systemctl disable PID #暂停开机启动

find / -name PID #找到位置

rm /usr/lib/systemd/system/.service #删掉

3. 常见报错 (有些忘记记录了，后面有再更新)

打开cmd出现：

ERROR: ld.so: object ‘/usr/local/lib/libSSL2.3.0.so’ from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored

分析:

这个是开机启动的服务，即病毒通过守护进程启动，但启动的程序被先前删除了无法启动，就报了上面的错。这里脚本会随机命名一个进程（一般是一些系统程序名）运行

解决方法：

1.停止守护进程服务

2.删除守护进程

4. 总结

4.1 解决思路

如果只是简单的病毒，删除PID运行的文件即可

进一步就是定时启动程序，及开机启动程序（守护进程-daemon, 也叫系统服务，是指在后台运行且不直接与用户交互的进程）

最后就是排查日志，另外做好权限管理，账户的密码尽量复杂一些，跑程序的普通用户系统文件的改动权限（w）不需要给, 仅读（r）或运行（x）就行

4.1 工作账户权限设置

• 工作账户只拥有访问必要文件的权限，例如读取配置文件、写入日志文件等

chmod 700 /path/to/program

• 将敏感文件（如配置文件中的密钥）限制为可读：

chmod 600 /path/to/config

• 如果要用到root权限（sudo），在/etc/sudoers设置可用的特殊命令

• 未来计划，用docker容器将工作程序与系统隔离

reference

https://blog.csdn.net/ouxx2009/article/details/123479424

https://blog.csdn.net/weixin_43312117/article/details/143647187