全部产品

ECS Linux系统CPU异常占用(minerd 、tplink等挖矿进程)

更新时间:2020-11-10 15:14:20

本文介绍了如何排查和处理ECS服务器Linux系统中,异常进程占用了大量CPU资源的问题。

现象描述

云服务器ECS(Linux) CPU使用率超过70%,严重时可达到100%,服务器响应越来越慢。

注意

本文提到的挖矿程序排查场景,仅为技术人员提供故障排查思路,不保证与攻击者实际使用方式一致,具体场景以实际情况为准。

原因分析

  • 服务器中存在恶意minerd、tplink进程

    该进程是服务器被入侵后,被恶意安装的比特币挖矿程序,一般存在于/tmp/目录下。

    您可以通过以下方式排查是否存在相关进程:

    • 在服务器上执行top命令

      命令执行结果如下:

      top命令执行结果

      您可以看到,服务器中存在一个minerd(或tplink)异常进程,占用了大量CPU资源。

    • 在服务器上执行ps命令

      如果使用top命令无法查到该进程,您可以使用ps命令。

      命令执行结果如下:

      您可以看到,服务器中存在minerd异常进程。如果它不是您主动开启的,则很可能是被入侵所致。

  • 服务器中存在隐藏的恶意模块

    黑客通过驱动rootkit程序入侵主机,并部署隐藏挖矿程序,CPU使用率可能达到90~100%。该场景无法通过top命令和ps命令来检测确认。

处理方法

  • 处理恶意minerd、tplink进程

    1. 使用kill命令关闭该恶意进程。

    2. 使用以下命令,通过PID号获取该恶意文件的路径。然后,找到并删除对应的文件。

      ls -l /proc/$PID/exe

      其中,$PID 为进程对应的PID号,可以通过ps 或者top获取。

      说明

      建议您平时增强服务器的安全维护,优化代码,以避免因程序漏洞等导致服务器被入侵。

  • 处理隐藏的恶意模块

    被隐藏的恶意模块一般有:raid.koiptable_mac.kosnd_pcs.kousb_pcs.koipv6_kac.ko。您可以使用 file /lib/udev/usb_control/...命令,分别检查是否存在以上模块。

    例如,使用以下命令查看是否存在iptable_mac.ko模块:

    file /lib/udev/usb_control/iptable_mac.ko

    命令执行结果如下图所示,表明存在隐藏的iptable_mac.ko模块。

    存在隐藏的iptable_mac.ko模块

相关文档

如果您的云服务器是Windows系统,可以参考非云安全中心用户处理挖矿程序进行排查和处理。