ECScpu和內(nèi)存高達(dá)100%Linux系統(tǒng)CPU異常占用：minerd、tplink等挖礦進(jìn)程

　　說(shuō)明：本文提到的挖礦程序排查場(chǎng)景，僅為技術(shù)人員提供故障排查思路，不保證與攻擊者實(shí)際使用方式一致，具體場(chǎng)景以實(shí)際情況為準(zhǔn)。

　　問(wèn)題描述

　　云服務(wù)器ECSLinux服務(wù)器上CPU使用率超過(guò)70%，嚴(yán)重時(shí)可達(dá)到100%，或者服務(wù)器響應(yīng)越來(lái)越慢。

　　原因分析

　　惡意minerd、tplink進(jìn)程

　　在服務(wù)器上運(yùn)行top命令，結(jié)果如下：

　　top

　　可以看到，有一個(gè)minerd（或tplink）的異常進(jìn)程，占用了大量CPU資源。該進(jìn)程是服務(wù)器被入侵后，被惡意安裝的比特幣挖礦程序，一般存在于/tmp/目錄下。

　　如果使用top命令查看不到所述進(jìn)程，可以用ps命令檢查相關(guān)進(jìn)程。例如，

　　ps

　　可以看到，服務(wù)器中存在這個(gè)進(jìn)程。如果它不是您主動(dòng)開啟的，則很可能是被入侵所致。服務(wù)器被惡意利用來(lái)挖比特幣。

　　隱藏的惡意模塊

　　黑客通過(guò)驅(qū)動(dòng)rootkit程序入侵主機(jī)，并部署隱藏挖礦程序，CPU使用率可能達(dá)到90-100%。該場(chǎng)景無(wú)法通過(guò)top命令和ps命令來(lái)檢測(cè)確認(rèn)。

　　處理方案

　　惡意minerd、tplink進(jìn)程

　　使用如下命令，通過(guò)PID獲取對(duì)應(yīng)文件的路徑。然后，找到并刪除對(duì)應(yīng)的文件。

　　ls-l/proc/$PID/exe

　　其中，$PID為進(jìn)程對(duì)應(yīng)的PID號(hào)，可以通過(guò)ps或者top獲取。

　　使用kill命令關(guān)閉進(jìn)程。

　　建議您平時(shí)增強(qiáng)服務(wù)器的安全維護(hù)，優(yōu)化代碼，以避免因程序漏洞等導(dǎo)致服務(wù)器被入侵。

　　隱藏的惡意模塊

　　被隱藏的惡意模塊一般有：raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用file/lib/udev/usb_control/...命令，分別檢查是否存在以上模塊。

　　例如，使用以下命令查看是否存在iptable_mac.ko模塊：

　　file/lib/udev/usb_control/iptable_mac.ko

　　結(jié)果所示，表明存在隱藏的iptable_mac.ko模塊。