挖矿病毒 on Liangweidong's blog

Linux 性能调试与应急排查：htop / sysdig / unhide 与挖矿病毒清理

Mon, 03 Jun 2024 00:00:00 +0800

〇、2024 视角（写于 2024-06）

本篇首发于 2024-06，过去 2 年挖矿病毒、内核 Rootkit 形态发生了一些变化：

unhide 仍是 Linux 下找隐藏进程最轻量的工具，但部分 Rootkit 已经能 hook 掉 /proc 遍历，建议结合 sysdig / bpftrace 一起看。
sysdig 2023 起被 Sysdig 公司收为闭源商业版的一部分，但社区 fork draios/sysdig 仍可拉取旧版开源；2024 推荐用 bpftrace / opensnoop-bpftrace 替代做 syscall 级追踪。
挖矿病毒命名：过去是 8 位随机名（f54e90d4），2024 已进化为伪装成系统服务名（kthrotlds、migration/0），单看名字不再可靠，必须看 cmdline + 真实可执行路径。
应急 SOP 没变：先断网 → 看进程 → 看 cron → 杀进程 → 删 cron → 改密码 → 关密码登录 → 备份数据后重装。

下面进入正文。

一、为什么需要"应急排查"清单

线上服务器出现异常，最贵的成本不是 CPU 也不是磁盘，而是"不知道下一步该敲什么命令"。本文按"症状 → 第一条命令 → 深入分析 → 处置"的顺序，整理了 4 个最常见场景的应急清单：

CPU 拉满但 top 看不出明显元凶（隐藏进程 / 多核分配）
磁盘 IO 飙高（iostat / 临时压测复现）
登录用户可疑（踢人 / 改端口）
挖矿病毒（unhide / sysdig 找进程 / 清理定时任务）

每个场景都给最小可运行命令，不讲空洞理论。

重要原则：发现入侵迹象后，先断网再排查，避免恶意进程远程"自删"破坏现场。

二、场景 1：CPU 拉满

2.1 一条命令把 CPU 吃满（用于复现 / 压测）

1
2
3
4
5
6
7


# 起 N 个 dd 占满所有核心（N = 物理 CPU 个数）
for i in $(seq 1 $(cat /proc/cpuinfo | grep "physical id" | wc -l)); do
 dd if=/dev/zero of=/dev/null &
done

# 收尾
pkill -9 dd

原理：dd if=/dev/zero of=/dev/null 不产生 IO，只用 CPU。N 个并行正好把 N 核打满。

2.2 内存打满（用于测试 OOM）

1
2
3
4
5
6
7


# 占 1G 内存 1 小时
mkdir /tmp/memory
mount -t tmpfs -o size=1024M tmpfs /tmp/memory
dd if=/dev/zero of=/tmp/memory/block
sleep 3600
umount /tmp/memory
rmdir /tmp/memory

2.3 磁盘 IO 打满（用于复现 IO 瓶颈）

1
2
3


while true; do
 dd if=/dev/urandom of=/burn bs=1M count=1024 iflag=fullblock
done

跑起来后用 iostat 观察：

1

iostat -d -x -k 1 1

关键列含义：

列	含义
`r/s` / `w/s`	每秒读 / 写次数
`rkB/s` / `wkB/s`	每秒读 / 写 KB
`await`	平均每次 IO 等待时间（ms）
`svctm`	平均每次 IO 服务时间（ms）
`%util`	设备繁忙时间占比，接近 100% 就是瓶颈
`avgqu-sz`	平均 IO 队列长度

2.4 CPU 满但 `top` 看不到凶手

很可能是进程被 Rootkit 隐藏了。ps 只能看到 /proc 里可见的进程，Rootkit 通过改系统调用 / 内核模块把进程从 /proc 抹掉。

1
2
3
4
5
6


# 安装
apt install unhide # Debian / Ubuntu
yum install unhide # CentOS

# 扫描隐藏进程
unhide proc

输出示例（节选）：

1
2
3
4
5
6
7
8


Found HIDDEN PID: 8627
 Cmdline: "<none>"
 Executable: "<no link>"

Found HIDDEN PID: 8631
 Cmdline: "/tmp/ntools"
 Executable: "/tmp/ntools (deleted)"
 Command: "ntools"

"<no link>" 加 (deleted) 几乎可以肯定是被替换的可执行文件。这种进程ps 看不到，但 unhide 跑遍 /proc 就能揪出来。

2.5 sysdig：高级武器

1
2
3
4
5


# 装
apt install sysdig # 或 yum install sysdig

# CPU Top
sysdig -c topprocs_cpu

输出形如：

1
2
3
4


CPU% Process PID
--------------------------------------------------------------------------------
1986.02% Discord 3225098
1800.44% f54e90d4 1806

1986.02% 出现在普通命令里几乎肯定是异常——单进程超过 100% 表示它多线程用了多核，但 Discord 一般不该这样。如果看到 f54e90d4 这种 8 位随机名字的可执行文件，就是挖矿木马。

定位 PID 后用下面这套"五连"：

1
2
3
4
5


cat /proc/1806/cmdline # 命令行（已抹掉的看不到）
which f54e90d4 # 找不到说明不在 PATH
find / -name f54e90d4 2>/dev/null
ls -l /proc/1806/exe # 真实可执行路径
cat /proc/1806/status # 进程状态、内存、权限

pwdx 1806 找进程工作目录：

1
2


root@host:~# pwdx 1806
1806: No such process # 进程可能已经"自删"

No such process 是典型的"恶意进程"——它在被查询的瞬间就已经退出了，只留下 /proc 里的残骸。

三、场景 2：磁盘清理与排查

1
2
3
4
5
6


# 看各目录占用
du -h -x --max-depth=1 /

# ncdu 交互式
apt install ncdu
ncdu / --exclude /home --exclude /nfs

ncdu 快捷键：

键	作用
`n`	按文件名排序
`s`	按大小排序
`r`	重新计算
`g`	显示百分比
`q`	退出

四、场景 3：SSH 登录用户异常

1
2
3
4
5


# 查看当前在线用户
who

# 踢掉某个用户
pkill -9 -t pts/2

注意 pkill -9 -t pts/2 会强杀该终端所有进程，包括用户正在跑的服务。生产环境慎用，最好先 wall 警告。

/var/log/auth.log 异常增长是被 SSH 暴力破解的信号：

1
2
3
4
5
6
7
8


# Ubuntu
tail -f /var/log/auth.log

# CentOS
tail -f /var/log/secure

# 文件超过 1M 多半是被打了
du -h /var/log/auth.log

应对：

改 SSH 端口
关闭密码登录，只允许密钥
装 fail2ban 自动封禁
内网机器直接禁外网 SSH

五、场景 4：挖矿病毒应急 SOP

本节基于实际处置过的案例整理，所有"客户信息"已脱敏。

5.1 症状

top 看到 f54e90d4、ntools、kthrotlds 等奇怪名字
CPU 长期 100%，但业务进程正常
/etc/cron.d/ 下出现随机名字的文件

5.2 排查流程

1
2
3
4
5
6
7
8


# 1. 找隐藏进程
unhide proc

# 2. 看可疑 crontab
crontab -l
cd /etc/cron.d
ls -l
cat /etc/cron.d/<可疑文件>

示例输出：

1
2
3


root@host:/etc/cron.d# ls -l
-rw-r--r-- 1 root root 201 Jan 8 2022 e2scrub_all
-rw-r--r-- 1 root root 35 Dec 10 2011 F6tfV3LP

F6tfV3LP 这种随机 8 位字母几乎肯定是恶意 cron。e2scrub_all 是 ext 文件系统自带工具，不要删。

1
2
3
4


# 看内容
cat F6tfV3LP
# */1 * * * * root /bin/WbeGGvQK 1 1
# 每分钟执行一次 /bin/WbeGGvQK（已删除的可执行）

5.3 清理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 1. 删二进制
rm -rf /bin/WbeGGvQK

# 2. 删 cron 文件
rm -rf /etc/cron.d/F6tfV3LP

# 3. 杀进程
pkill -9 -f WbeGGvQK
# 或按 PID
kill -9 <PID>

5.4 后续加固

改所有弱密码
关闭 SSH 密码登录
查 /etc/passwd 是否有可疑新用户
检查开机启动项：systemctl list-unit-files --state=enabled
重装系统（如果已经渗透很深）

经验上重装比清理快。挖矿病毒经常会留后门，清理成本远高于备份数据 → 重装 → 加固。

六、sysdig 进阶使用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 查某个进程的系统调用
strace -p 1806

# 查网络连接最多的进程
sysdig -c topprocs_net

# 查写入文件最多的进程
sysdig -c topprocs_file

# 监听特定事件
sysdig evt.type=open and fd.name contains /tmp

更多 sysdig chisel（内置的分析命令）：

Chisel	用途
`topprocs_cpu`	CPU 占用 Top
`topprocs_net`	网络流量 Top
`topprocs_file`	读写文件 Top
`topfiles_bytes`	文件读写字节数 Top
`spy_users`	用户行为跟踪
`spy_ip`	IP 维度流量
`list_login_shells`	登录历史

七、SSH 日志监控

1
2
3
4
5


# Ubuntu
tail -f /var/log/auth.log

# CentOS
tail -f /var/log/secure

日志格式：

1

Jun 13 02:54 internal.example.com sshd[12345]: Accepted publickey for root from <攻击者IP> port <端口> ssh2

日志暴增多半是 SSH 暴力破解，可以装 fail2ban 自动封禁。

八、常见 5 个坑

unhide 报很多 Found HIDDEN：先看 Cmdline 和 Executable 两列，"<no link>" + (deleted) 才是真可疑；内核线程、kthreadd 的子进程是正常的。
pkill -9 -t pts/2 把自己踢下线：远程终端执行前确认 pts 号是自己的（who 第一行）。
crontab 里的"正常任务"删错：e2fsprogs 的 e2scrub_all 看起来像可疑脚本，是合法的——别删。
dd if=/dev/zero 把磁盘打满：of=/dev/null 不会写盘；of=/burn（不存在）会真的写满磁盘，小心。
入侵后只杀进程不清理 cron：挖矿病毒的核心是 cron 里的回连脚本，不删 cron 杀 100 次也会复活。

九、应急排查清单（建议收藏）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


[ ] top / htop 看 CPU
[ ] ps aux --sort=-%cpu | head
[ ] unhide proc 找隐藏进程
[ ] sysdig -c topprocs_cpu
[ ] who / w 查在线用户
[ ] cat /etc/passwd 查可疑账户
[ ] ls -l /etc/cron.d/ + cat 每个文件
[ ] crontab -l 查用户级定时任务
[ ] systemctl list-unit-files --state=enabled
[ ] last / lastb 查登录历史
[ ] /var/log/auth.log 查异常登录
[ ] iostat -d -x -k 1 查 IO
[ ] netstat -antp 查可疑连接
[ ] 备份数据后重装（最后手段）

十、总结

CPU 满先 top 看不见再 unhide，别忘了 sysdig 是终极武器。
挖矿病毒的根在 /etc/cron.d/ 随机名文件，不删 cron 杀 100 次也复活。
入侵后清理 = 找 → 杀 → 删 cron → 改密码 → 关密码登录 → 重装。
预防 > 应急：SSH 密钥 + fail2ban + 最小开放端口。

参考资料

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

Mon, 15 Apr 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点，Linux 主机安全进入"专业化"阶段：

挖矿病毒（xmrig / c3Pool / kinsing）仍是企业最常见的入侵后果
EDR 终端（Endpoint Detection and Response）成为云主机标配
OpenVAS 在 2017 改名 GVM（Greenbone Vulnerability Management），2024 已是 23.x
合规要求（等保 2.0、ISO 27001）要求定期漏洞扫描
xmrig 6.x 的对抗特征（chattr +i 防删）成为应急手册标配

这一篇覆盖挖矿病毒应急、c3Pool 木马清理、EDR 部署、GVM 漏洞扫描安装与升级、漏扫告警——一个"安全运营"工程师的实战手册。

阅读建议：本文是"应急 + 体系建设"双重性质——先应急（挖矿病毒清理），再体系（漏洞扫描）。

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. top 找高 CPU 进程
top
# 看到 xmrig、kdevtmpfsi、.service 等非常规进程

# 2. 找进程 exe 路径
ls -l /proc/<pid>
# /proc/<pid>/exe -> /usr/local/lib/<挖矿二进制>

# 3. 看进程工作目录
ls -l /proc/<pid>/cwd
# 通常在 /tmp 或 /dev/shm 这种"隐蔽"位置

2.2 文件无法删除：`chattr +i`

挖矿木马常 chattr +i 锁住自己的二进制、SSH 公钥、cron 文件等，让 rm 删不掉。

1
2
3
4
5
6
7
8


# 查属性
lsattr 文件名

# 加锁（之后 rm 删不掉）
chattr -R +i ./test*

# 解除（运行完就能删）
chattr -R -i ./test*

2.3 c3Pool 矿池连接特征

c3Pool 是公开矿池（c3pool.com），挖矿木马的"标配"会连接 c3pool.com：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 看进程网络连接
ss -tnp | grep <pid>
# 看是否有到矿池 IP 的 TCP 连接

# 2. 查 DNS 解析记录
cat /etc/resolv.conf
# 木马经常改 DNS 指向自建 DNS

# 3. 查 hosts
cat /etc/hosts
# 木马经常把 c3pool.com、pool.minexmr.com 指向 0.0.0.0

xmrig 配置：挖矿配置一般在 ~/.config/xmrig/config.json，里面能找到矿池地址、钱包地址、CPU 占用等。

2.4 完整清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


# 1. 杀进程
ps -ef | grep xmrig | grep -v grep | awk '{print $2}' | xargs kill -9
pkill -9 xmrig

# 2. 解锁
find / -name "*.xmrig*" -exec chattr -i {} \;
find / -path "*/xmrig/*" -exec chattr -R -i {} \;
chattr -R -i /etc/cron.d/
chattr -R -i /etc/cron.daily/
chattr -R -i /var/spool/cron/

# 3. 删文件
rm -rf /usr/local/lib/xmrig
rm -rf /tmp/.xmrig
rm -rf /dev/shm/.xmrig

# 4. 清 cron
# 全局搜索定时任务
find / -name "cron*" -type d

# 看每个 cron 文件内容
for f in /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/*; do
 echo "=== $f ==="
 cat "$f" 2>/dev/null
done

# 找可疑条目（含 curl / wget / base64 / sh -c 的）
grep -rE "(curl|wget|base64|sh -c)" /var/spool/cron/ /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ 2>/dev/null

# 重启 crond
systemctl restart crond

# 5. 查 SSH 攻击者后门
# 看 authorized_keys
find / -name "authorized_keys" -ls 2>/dev/null
cat ~/.ssh/authorized_keys
# 找陌生的公钥

# 6. 查新增 sudo 用户
awk -F ":" '$3==0{print $1}' /etc/passwd

# 7. 改所有用户密码
passwd root
passwd <其他用户>

# 8. 查进程还在不在
top
ps -ef | grep -E "(xmrig|kdevtmpfsi|minerd)"

2.5 xmrig 自检配置

xmrig 官方有"配置向导"：https://xmrig.com/wizard

不要去生成实际挖矿配置——这个工具只是让你理解挖矿配置长什么样，方便在应急时识别。

三、EDR 终端部署

3.1 简介

EDR（Endpoint Detection and Response）通过 agent 收集主机行为日志，实时检测异常，是现代主机的"安全底座"。

3.2 命令行部署

1
2
3
4
5


wget --no-check-certificate https://<EDR管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz

tar -xzvf linux_edr_installer.tar.gz
./agent_installer.sh -c

端口：默认 4430。

3.3 下载器部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 把安装包拷贝到终端
scp linux_edr_installer.tar.gz root@<host>:/tmp/

# 2. 终端解压
cd /tmp
tar -xzvf linux_edr_installer.tar.gz

# 3. 安装
cd /tmp
./agent_installer.sh # 同目录有 manager_info.txt 时
# 或
./agent_installer.sh -f # 强制安装
./agent_installer.sh -h www.mgr.com # 自定义域名
./agent_installer.sh -h www.mgr.com -p 443 -d /root/edr/ -f # 完全自定义

# 4. 验证
./agent_installer.sh --help

1
2


# 4. agent 启动后会自动连接 EDR 管理中心
systemctl status edr-agent

四、OpenVAS / GVM 漏洞扫描

4.1 简介

OpenVAS（Open Vulnerability Assessment Scanner）2017 年改名 GVM（Greenbone Vulnerability Management），是开源漏洞扫描器的事实标准。

特点：

用户界面简单友好
内置测试库，每天更新
扫描目标设备的所有软件版本
匹配漏洞库后直接提示可能的漏洞

4.2 GVM 23.x 时代组件

gvmd —— Manager
gsad —— Web 前端（Greenbone Security Assistant）
openvas / ospd-openvas —— Scanner
notus —— 产品元数据
redis-server —— Scanner 缓存
PostgreSQL —— 元数据库
gvm-tools —— 命令行工具

4.3 安装（Debian/Ubuntu）

1
2
3


apt update
apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

4.4 初始化

1
2
3
4
5
6
7
8
9


# 初始化（下载漏洞库，时间比较长）
gvm-setup

# 检查安装结果
gvm-check-setup
# 如果检测失败按提示执行修复命令

# GVM 的 Redis 不是开机启动
systemctl enable redis-server@openvas.service

4.5 升级漏洞库

1
2
3
4
5
6
7


# 旧命令（已废弃）
gvm-feed-update
# > This script is now deprecated
# > Please use 'sudo greenbone-feed-sync' instead

# 新命令
sudo greenbone-feed-sync

4.6 启动

1
2


gvm-start
# > GVM services are already running

4.7 修改 admin 密码

1
2
3
4
5
6
7


# 改密码为自定义值
runuser -u _gvm -- gvmd --user=admin --new-password='<your-password>'

# 第一次安装时会有初始化密码输出
# [+] Done
# [*] Please note the password for the admin user
# [*] User created with password '...uuid...'

4.8 创建新用户

1
2


# admin 填要创建的用户名，最后的 password 填密码
runuser -u _gvm -- gvmd --create-user=<username> --new-password='<password>'

4.9 修改 Web UI 监听地址

默认 gsad 只监听 127.0.0.1:9392，要对外暴露：

1
2
3
4
5
6
7
8
9


vim /usr/lib/systemd/system/gsad.service

# 把
# ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# 改为
ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

4.10 查日志

1

tail -f /var/log/gvm/gvmd.log

4.11 典型 `gvm-check-setup` 输出（23.11）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present.
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly.
 OK: _gvm owns all files in /lib/openvas/plugins.
 OK: NVT collection contains 91760 NVTs.
 OK: The notus directory contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
Step 3: Checking Certificates ...
 OK: GVM client certificate is valid.
 OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ...

关键指标：91760 NVTs（漏洞特征库）、464 notus NVTs（产品元数据）是 2024 时代正常范围。GVM 23.5.2 是 2024 上半年的版本。

五、漏扫告警体系建设

5.1 关键指标

指标	含义
CVSS 评分	通用漏洞评分系统，0-10 越高越严重
高危 / 中危 / 低危	业务常用的粗粒度分类
CVE 编号	公开漏洞编号
影响资产	漏洞影响的具体资产范围

5.2 集成方式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 方式一：GVM 自带的 Web UI
# 浏览器访问 https://<gvm-host>:443
# 登录后：Configuration → Targets → New Target

# 方式二：Python gvm-tools
pip install gvm-tools
gvm-cli --gmp-username admin --gmp-password <password> \
 tls --hostname <gvm-host> --port 443 \
 --xml '<get_tasks/>'

# 方式三：REST API（gmp 22.4+）
# 见 https://greenbone.github.io/docs/

5.3 与企业 SIEM 集成

把 GVM 扫描结果导入 SIEM（Splunk / ELK / QRadar）：

1
2
3
4
5


# 1. GVM 导出 CSV
# Web UI → Reports → Export → CSV

# 2. 用 logstash / filebeat 采集
# 3. 用 SPL / DSL 写告警规则

六、安全基线检查清单（2024 等保 2.0 视角）

检查项	命令 / 工具
操作系统补丁	`uname -r` 比对最新安全公告
特权账号	`awk -F":" '$3==0{print $1}' /etc/passwd`
弱口令	`john --wordlist=pass.txt /etc/shadow`（破解测试）
SSH 安全	`sshd -T
防火墙	`iptables -L -n` / `ufw status`
入侵检测	AIDE / Tripwire / OSSEC
病毒查杀	chkrootkit / rkhunter / clamav
漏洞扫描	GVM / Nessus / Qualys
终端 EDR	部署 EDR agent
日志审计	auditd / rsyslog → SIEM
备份	至少 3-2-1 策略

七、前置知识 / 下一步

想看 chkrootkit / rkhunter / clamav 详细用法 → 翻独立文章
想看 SIEM 集成（ELK / Loki）→ 翻独立文章
想看 GVM 高级配置（任务、报告、调度）→ 翻独立文章
想看 AIDE / Tripwire 主机入侵检测 → 翻独立文章
想看 SELinux / AppArmor 强制访问控制 → 翻独立文章

八、参考资源

GVM 官方文档：https://greenbone.github.io/docs/
Greenbone 社区版（Greenbone CE）：https://greenbone.github.io/docs/greenbone-ce-22.04/
xmrig 官方（仅作识别参考）：https://xmrig.com/wizard
挖矿木马家族（360 报告）：https://www.360.cn/n/11701.html
国家信息安全漏洞库（CNNVD）：http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台（CNVD）：https://www.cnvd.org.cn/
CVE 官方：https://cve.mitre.org/
NVD：https://nvd.nist.gov/
MITRE ATT&CK：https://attack.mitre.org/

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

Sun, 15 May 2022 00:00:00 +0800

一、为什么 2022 年要谈 Linux 安全加固

2020-2022 年是国内挖矿木马最高峰的两年——Log4j2（2021-12 CVE-2021-44228）、Confluence（2021-2022）、Spring4Shell（2022-03 CVE-2022-22965）接连爆出，攻击者用漏洞横向打穿企业内网后植入 c3Pool / MoneroOcean 等矿池挖矿代理。本文整理三件套：

EDR Agent 一键部署——商用 EDR（终端检测与响应）平台让运维少背锅
OpenSSH 9.8 升级——修 CVE-2020-15778（OpenSSH 8.2 scp 命令注入）等高危漏洞
挖矿病毒应急排查——c3Pool 类挖矿木马的发现、定位、清理流程

本文写于 2022-05-15。OpenSSH 9.8 是 2024-07 发布的（本文示例为 9.8p1），但编译升级流程对所有 OpenSSH 大版本升级都适用。

二、EDR Agent 一键部署

EDR（Endpoint Detection and Response）平台——奇安信天擎、深信服 EDR、亚信安全、青云 Radware 等——都提供 Linux 客户端（agent）。商业 EDR 的标准装法是从管理控制台下载安装包，到终端一键部署。

2.1 命令行部署（标准动作）

1
2
3
4


wget --no-check-certificate https://<管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz \
&& tar -xzvf linux_edr_installer.tar.gz \
&& ./agent_installer.sh -c

4430 是 EDR 管理平台默认端口
-c：无参安装，从同目录的 manager_info.txt 读取管理平台地址

2.2 下载器部署（手动拷贝安装包）

登录管理控制台，下载 Linux 安装包
拷贝到服务器（scp / ftp / U 盘）
解压：
1

tar -xzvf linux_edr_installer.tar.gz

装：

1
2
3
4
5
6
7


# 无参安装（用同目录 manager_info.txt）
./agent_installer.sh

# 自定义安装
./agent_installer.sh -f
./agent_installer.sh -h <mgr-domain-or-ip>
./agent_installer.sh -h <mgr-host> -p 443 -d /root/edr/ -f

参数列表：

参数	作用
`-h host`	自定义管理平台域名 / IP
`-p port`	自定义管理平台端口（默认 4430）
`-d dir`	自定义安装路径（绝对路径）
`-f`	强制安装（覆盖已有）
`--help`	帮助

装完 agent 会自动连管理平台，进程通常叫 edr_agent / qax-anti-virus 之类。

2.3 验证

1
2
3
4
5
6
7
8


ps -ef | grep -i agent
# 看 EDR 进程是否在

netstat -antp | grep <管理平台IP>
# 看是否建立了到管理平台的连接

tail -f /var/log/edr/edr.log
# 看 agent 日志

坑提醒：EDR agent 启动会占 200-500MB 内存 + 5-10% CPU，对老旧业务机器要提前评估。

三、OpenSSH 升级：修 CVE-2020-15778

CVE-2020-15778（CVSS 7.8 高危）：OpenSSH 8.2 的 scp 命令存在命令注入漏洞——scp 在处理 scp tgt:'echo test > /tmp/hack' 这种参数时，反引号会被执行。OpenSSH 9.8p1（2024-07）已修复。

3.1 走系统源升级

1
2
3


sudo apt update && sudo apt -y upgrade
# 或 CentOS
sudo yum update openssh

大部分 LTS 发行版会自动 backport 修复，直接 apt upgrade 就够了——但版本号可能不会升到 9.8p1。

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

1
2
3


sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev -y
sudo apt install autoconf -y

3.2.2 准备 PrivSep 目录

1
2
3


sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

1

sudo apt install libpam0g-dev libselinux1-dev libkrb5-dev -y

3.2.4 下载 + 编译

1
2
3
4
5
6
7
8
9


curl -O https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
sudo tar -zxf openssh-9.8p1.tar.gz
cd openssh-9.8p1
sudo autoreconf
sudo ./configure --with-kerberos5 --with-md5-passwords --with-pam \
 --with-selinux --with-privsep-path=/var/lib/sshd/ \
 --sysconfdir=/etc/ssh
sudo make
sudo make install

3.2.5 重启 + 验证

1
2
3
4


sudo systemctl restart ssh
sudo systemctl status ssh
ssh -V
# OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020

坑提醒 1：升级前先开两个 SSH 会话——一个升级、一个监视。万一升级失败，被踢出来时还有回退渠道。

坑提醒 2：编译时如果报 configure: error: OpenSSL library not found，装 libssl-dev（Debian/Ubuntu）或 openssl-devel（RHEL/CentOS）。

坑提醒 3：升级后 /etc/ssh/sshd_config 不会自动更新——但 sshd_config 5.x → 9.x 兼容性一般没问题。

四、挖矿病毒应急排查

c3Pool、MoneroOcean、Supportxmr 等门罗币矿池是国内挖矿木马最常用的"回传通道"。特征：

进程名随机（f54e90d4 / ntools / WbeGGvQK / kthrotlds 等）
CPU 持续 80%+
跟矿池的 3333 / 5555 / 7777 / 14444 / 14433 等端口建连
cron 里写 */5 * * * * /tmp/.x/...
/etc/cron.d/、/var/spool/cron/、/etc/rc.local 被改

4.1 排查步骤

第 1 步：看 CPU 占用

1

top -u <被怀疑的用户>

或精确找挖矿进程：

1

ps -ef | grep -E 'kdevtmpfsi|kinsing|xmrig|minerd|c3pool' | grep -v grep

第 2 步：查网络连接

1
2
3
4
5


# 看跟可疑矿池的连接
ss | grep -i :3333
ss | grep -i :14444
ss | grep -i :14433
netstat -antp | grep -E ':(3333|5555|7777|14444|14433)\s'

第 3 步：查定时任务

1
2
3
4
5


crontab -l
ls -la /etc/cron.d/
ls -la /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.weekly/
ls -la /var/spool/cron/
cat /etc/rc.local

第 4 步：看启动项

1
2
3


systemctl list-unit-files | grep enabled
# 找可疑的 .service
cat /etc/systemd/system/<可疑>.service

第 5 步：杀进程 + 删文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 杀进程
pkill -9 -u <被感染用户>
# 或按 PID
ps -ef | grep -i xmrig | grep -v grep | awk '{print $2}' | xargs kill -9

# 删文件
rm -rf /tmp/.x/
rm -rf /var/tmp/.cache/
rm -rf /root/.configrc/

# 删用户
userdel -r <被感染用户>

# 清空可疑 crontab
crontab -r

第 6 步：改密码 + 收口

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


passwd root
# 改所有用户密码
# 撤 SSH 密钥
rm -f /root/.ssh/authorized_keys
rm -f /home/*/.ssh/authorized_keys

# 关可疑端口（防火墙）
iptables -A INPUT -p tcp --dport 3333 -j DROP
iptables -A INPUT -p tcp --dport 14444 -j DROP

# 查 SSH 登录历史
last -a | grep -i still
# 找可疑 IP

4.2 排查命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 看哪些用户登录了
last -a

# 2. 看哪些 SSH 进程在工作
ps -ef | grep sshd | grep -v grep
netstat -antp | grep 'ESTABLISHED.*sshd'

# 3. 查进程工作目录
ps -ef | grep -i xmrig
pwdx <PID>
ll /proc/<PID>/cwd
# /proc/<PID>/cwd 是进程当前工作目录的软链接

# 4. 查被修改的二进制
rpm -Va | grep -E '^..5' # CentOS / RHEL
debsums -c # Debian / Ubuntu
# 5=MD5 不一致 → 二进制被替换

4.3 应急清单

步骤	命令	目的
1. 隔离	`iptables -I INPUT -s <可疑IP> -j DROP`	阻断攻击者 SSH 入口
2. 拍快照	云盘快照 / LVM 快照	保留现场取证
3. 杀进程	`pkill -9 -u <user>`	中断挖矿
4. 删文件	`rm -rf /tmp/.x/`	清掉二进制
5. 改密码	`passwd root`	防止再次入侵
6. 收口	封 3333/14444 等矿池端口	防止复连
7. 复盘	查 SSH 弱口令 / 未授权密钥 / 0day	找到入侵路径

五、SSH 攻击 IP 黑名单（fail2ban 思路）

fail2ban 是 Linux 标配的 SSH 防护工具——连续登录失败 N 次自动封 IP。

1
2
3
4
5
6


# Debian / Ubuntu
sudo apt install -y fail2ban

# CentOS / RHEL
sudo yum install -y epel-release
sudo yum install -y fail2ban

/etc/fail2ban/jail.local：

1
2
3
4
5
6
7
8
9


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure # CentOS
# logpath = /var/log/auth.log # Ubuntu
maxretry = 5
findtime = 600
bantime = 3600

启动：

1
2


sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

六、典型坑速查

现象	原因	处理
OpenSSH 编译失败	缺 `libssl-dev` / `libpam0g-dev`	走 §3.2.1 装依赖
SSH 升级后无法登录	`sshd_config` 配错	控制台 / VNC 登录修 `/etc/ssh/sshd_config`
EDR agent 装不上	服务器断网 / 平台端口不通	走 §2.2 下载器部署
`userdel` 失败	用户还有进程在跑	`pkill -u <user> && userdel -r <user>`
`crontab -e` 提示 “no crontab for root”	crontab 已被清空	这是好事，再 `crontab -e` 重新建
矿池连不上但 CPU 仍高	杀的是单进程、还有其他变种	`pkill -9 -u <user>` 一刀切

七、2024+ 视角补充

本文写于 2022-05，2024-2026 期间 Linux 安全加固关键演进：

OpenSSH 9.8 → 9.9 → 10.0（2024-2026）：
- OpenSSH 9.9（2024-09）：后量子算法默认启用（ML-DSA / hybrid Streamlined NTRUPrime）
- OpenSSH 10.0（2025-04）：dropbear 替代品；DSA 主机密钥完全移除
- CVE-2024-6387（regreSSHion）：OpenSSH 8.5p1 ~ 9.7p1 的 signal handler race condition——远程 RCE 漏洞，必须升 9.8p1+（2024-07 修复）
EDR 生态（2024-2026）：
- CrowdSec 1.0+（2024）：社区共享 IP 黑名单——fail2ban 的现代替代，集成 fail2ban bouncer 兼容
- Wazuh 4.9+（2025）：开源 EDR / SIEM——OSSEC 演进版，机器学习检测 / 合规基线
- Falco 0.40+（2025）：CNCF 毕业——运行时安全（eBPF），K8s 安全监控首选
- Tetragon 1.0+（2024）：eBPF 驱动的 K8s 安全——Cilium 出品
- Tracee 1.0+（2024）：Aqua Security 出品，运行时威胁检测
挖矿木马演化（2024-2026）：
- 门罗币（XMR） 仍是主流，2024+ 出现 AI 挖矿（LLM 模型训练）——更隐蔽
- APT 组织 从挖矿转向勒索 + 数据窃取双驱动——纯挖矿变少
- 供应链投毒 2024+ 高发（XZ Utils 后门 CVE-2024-3094 / Polkit 提权）
EDR 商业方案（2024+）：
- CrowdStrike Falcon（2024-07 全球蓝屏事件后信任度下降，但仍是主流）
- Microsoft Defender for Endpoint / Linux：2024+ 集成 K8s，Linux Server 端默认
- 阿里云 / 腾讯云安骑士 / 云安全中心：国内云上 EDR 首选

实战建议（2025-2026 视角）：

SSH 安全 → 立即升 OpenSSH 9.8p1+（修 CVE-2024-6387）
EDR 选型：
- 预算充足 / 企业 → CrowdStrike / Microsoft Defender
- 开源 / 自托管 → Wazuh 4.9+（SIEM + EDR） / Falco（K8s）
挖矿防护 → CrowdSec 替代 fail2ban（社区共享 IP 黑名单）
白名单 → SELinux Targeted + OpenSCAP（合规基线扫描）
云原生 → Falco + Tetragon 是 2024-2026 K8s 安全黄金组合

八、下一步

想做更细的病毒查杀 → 上 OSSEC / Wazuh / ClamAV 等开源 EDR
想做 SSH 集中管理 → 走堡垒机（齐治 / 安恒 / JumpServer）
想做内网横向流量检测 → 上 NDR（科来、东巽科技、聚铭网络）
想给服务器上白名单模式 → 走 SELinux Targeted 策略或 AppArmor