深度追踪用sysdig揪出Linux服务器上伪装成log、ntools的xmrig挖矿木马当服务器CPU突然飙高而top命令却显示一切正常时作为运维工程师的你一定知道事情没那么简单。最近一种新型的xmrig挖矿木马正在Linux服务器上肆虐它们伪装成log、ntools等常见文件名甚至能绕过常规监控工具的检测。本文将带你深入挖掘这些狡猾的挖矿木马使用sysdig等高级工具进行深度排查并提供一套完整的防御方案。1. 为什么top命令会失效挖矿木马的隐身术传统的top、htop等工具之所以无法检测到这些高级挖矿木马是因为攻击者已经进化出了多种隐身技巧进程伪装通过修改进程名使挖矿进程看起来像正常系统进程CPU节流动态调整CPU使用率在检测时降低负载文件隐藏使用非常规目录和随机文件名如/tmp/.log或/usr/bin/ntools定时唤醒只在特定时间段激活避开监控高峰期# 使用ps命令查看你可能看到的是这样的正常进程 ps aux | grep -i log user 1234 0.5 0.1 123456 7890 ? Ssl 10:00 0:05 /usr/bin/log --daemon更棘手的是这些木马通常会禁用系统防火墙ufw disable创建多个定时任务cron jobs确保持久化安装多个守护进程相互保护修改文件属性防止被删除chattr i2. sysdig系统监控的瑞士军刀当传统工具失效时sysdig就成为了我们的终极武器。这个开源的系统监控工具可以提供实时的系统调用监控容器级别的可见性强大的过滤和输出能力脚本化的分析功能2.1 安装与基本使用# Ubuntu/Debian sudo apt-get install -y sysdig # CentOS/RHEL sudo yum install -y sysdig # 基本使用监控CPU使用率最高的进程 sudo sysdig -c topprocs_cpu2.2 高级排查技巧查找异常进程# 查找CPU使用率高但不在top中显示的进程 sudo sysdig -pc -c topprocs_cpu evt.typeexecve and proc.cpu50 # 追踪特定进程的系统调用 sudo sysdig proc.name可疑进程名分析文件活动# 查看最近被修改的可执行文件 sudo sysdig -A -c echo_fds fd.typefile and evt.typeopen and fd.name contains .sh or fd.name contains .log # 查找隐藏的挖矿程序 sudo sysdig -l | grep -i miner网络连接分析# 查看异常外连 sudo sysdig -c netstat # 追踪特定IP的连接 sudo sysdig -A -c echo_fds fd.ip可疑IP3. 深度取证挖矿木马的常见藏身之处通过分析多起案例我们发现这些挖矿木马通常隐藏在以下位置位置示例检测方法/tmp目录/tmp/.logls -la /tmp/dev/shm/dev/shm/ntoolsls -la /dev/shm系统服务/etc/systemd/system/可疑.servicesystemctl list-units --typeservice定时任务/etc/cron.hourly/随机名ls -la /etc/cron.*用户cron/var/spool/cron/用户名sudo ls -la /var/spool/cronSSH授权密钥~/.ssh/authorized_keys检查异常公钥持久化机制分析# 检查系统服务 sudo systemctl list-unit-files --typeservice | grep enabled # 检查所有定时任务 sudo ls -la /etc/cron*/* /var/spool/cron/* 2/dev/null # 检查开机启动项 sudo ls -la /etc/init.d/ /etc/rc.local4. 完整清除方案从检测到防御4.1 检测与清除步骤定位恶意进程sudo sysdig -c topprocs_cpu sudo sysdig -c spy_users追踪进程关联文件sudo sysdig -p%proc.name %proc.pid %fd.name proc.pid可疑PID检查文件属性lsattr 可疑文件 chattr -i 可疑文件 # 移除不可修改属性彻底删除sudo rm -f 可疑文件 sudo systemctl disable 可疑服务 sudo crontab -r -u 可疑用户4.2 防御加固措施SSH安全加固# 禁用root登录 sudo sed -i s/^PermitRootLogin.*/PermitRootLogin no/ /etc/ssh/sshd_config # 修改SSH端口 sudo sed -i s/^#Port 22/Port 2222/ /etc/ssh/sshd_config # 启用密钥认证 sudo sed -i s/^#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config sudo systemctl restart sshd防火墙配置sudo ufw enable sudo ufw default deny incoming sudo ufw allow 2222/tcp # 新SSH端口 sudo ufw allow http sudo ufw allow https定期监控脚本#!/bin/bash # 监控异常CPU使用 abnormal_procs$(sysdig -c topprocs_cpu proc.cpu30 -M 10 -n 1) if [ ! -z $abnormal_procs ]; then echo 发现异常进程 echo $abnormal_procs # 发送警报... fi # 检查可疑文件修改 suspicious_files$(sysdig -A -c echo_fds fd.name contains .log and evt.typeopen and proc.name!sysdig -M 10) if [ ! -z $suspicious_files ]; then echo 发现可疑文件访问 echo $suspicious_files fi5. 真实案例分析一次完整的挖矿木马清除过程最近处理的一台服务器案例中攻击者使用了以下高级技巧将挖矿程序伪装成/usr/sbin/ntools进程名显示为ntools --daemon创建了多个systemd服务确保持久化在/etc/cron.hourly中放置了随机名的定时任务修改了文件属性防止被删除chattr i动态调整CPU使用率避开监控通过sysdig我们最终定位到了这个狡猾的进程sudo sysdig -c spectrogram proc.namentools这个命令显示了ntools进程的系统调用频率明显高于正常进程。进一步追踪发现它定期连接到一个境外IP确认是xmrig挖矿程序。清除后我们实施了全套防御措施服务器至今运行稳定。