ECS Linux系统CPU异常占用（minerd 、tplink等挖矿进程）

现象描述

云服务器ECS（Linux） CPU使用率超过70%，严重时可达到100%，服务器响应越来越慢。

原因分析

• 服务器中存在恶意minerd、tplink进程

  该进程是服务器被入侵后，被恶意安装的比特币挖矿程序，一般存在于/tmp/目录下。

  您可以通过以下方式排查是否存在相关进程：

  • 在服务器上执行top命令

    命令执行结果如下：

    

    您可以看到，服务器中存在一个minerd（或tplink）异常进程，占用了大量CPU资源。

  • 在服务器上执行ps命令

    如果使用top命令无法查到该进程，您可以使用ps命令。

    命令执行结果如下：

    

    您可以看到，服务器中存在minerd异常进程。如果它不是您主动开启的，则很可能是被入侵所致。

• 服务器中存在隐藏的恶意模块

  黑客通过驱动rootkit程序入侵主机，并部署隐藏挖矿程序，CPU使用率可能达到90~100%。该场景无法通过top命令和ps命令来检测确认。

处理方法

• 处理恶意minerd、tplink进程

  1. 使用kill命令关闭该恶意进程。

  2. 使用以下命令，通过PID号获取该恶意文件的路径。然后，找到并删除对应的文件。

     ls -l /proc/$PID/exe

     其中，$PID 为进程对应的PID号，可以通过ps 或者top获取。

     说明

     建议您平时增强服务器的安全维护，优化代码，以避免因程序漏洞等导致服务器被入侵。

• 处理隐藏的恶意模块

  被隐藏的恶意模块一般有：raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用 file /lib/udev/usb_control/...命令，分别检查是否存在以上模块。

  例如，使用以下命令查看是否存在iptable_mac.ko模块：

  file /lib/udev/usb_control/iptable_mac.ko

  命令执行结果如下图所示，表明存在隐藏的iptable_mac.ko模块。

  

相关文档

如果您的云服务器是Windows系统，可以参考非云安全中心用户处理挖矿程序进行排查和处理。