服务器中毒排查指南
一、初步症状监测
服务器中毒的典型表现包括:CPU或内存占用率异常升高、系统响应缓慢、未知进程占用资源、异常网络连接等。建议使用以下工具进行初步检测:
- 通过
top或htop查看实时资源占用情况 - 检查系统日志(如
/var/log/messages)中的异常登录记录或进程启动信息 - 使用
df -h命令排查磁盘空间是否被恶意占用
二、进程与文件分析
在确认存在异常后,需深入分析进程和系统文件:
- 使用
ps aux | grep筛选可疑进程名称(如[atw]、[ptuf]) - 检查
/etc/cron*目录是否存在恶意定时任务脚本 - 通过
lsattr验证关键系统文件是否被锁定或篡改
sysdig -c topprocs_cpu | grep deleted三、网络连接排查
通过以下方法识别恶意网络活动:
- 使用
netstat -antp查看异常IP和端口连接 - 分析
~/.ssh/authorized_keys是否存在未授权公钥 - 监控境外矿池地址(如
xmrig相关域名)的连接请求
四、杀毒处理与系统加固
完成排查后应采取以下措施:
- 立即断开网络连接防止横向传播
- 使用ClamAV等专业工具进行全盘扫描
- 更新系统补丁并重置所有用户密码
- 部署入侵检测系统(IDS)实现持续监控
