当前位置: 首页 > article >正文

别再只盯着top命令了!用sysdig揪出Linux服务器上伪装成log、ntools的xmrig挖矿木马

article 2026/4/1 6:30:48
深度追踪用sysdig揪出Linux服务器上伪装成log、ntools的xmrig挖矿木马当服务器CPU突然飙高而top命令却显示一切正常时作为运维工程师的你一定知道事情没那么简单。最近一种新型的xmrig挖矿木马正在Linux服务器上肆虐它们伪装成log、ntools等常见文件名甚至能绕过常规监控工具的检测。本文将带你深入挖掘这些狡猾的挖矿木马使用sysdig等高级工具进行深度排查并提供一套完整的防御方案。1. 为什么top命令会失效挖矿木马的隐身术传统的top、htop等工具之所以无法检测到这些高级挖矿木马是因为攻击者已经进化出了多种隐身技巧进程伪装通过修改进程名使挖矿进程看起来像正常系统进程CPU节流动态调整CPU使用率在检测时降低负载文件隐藏使用非常规目录和随机文件名如/tmp/.log或/usr/bin/ntools定时唤醒只在特定时间段激活避开监控高峰期# 使用ps命令查看你可能看到的是这样的正常进程 ps aux | grep -i log user 1234 0.5 0.1 123456 7890 ? Ssl 10:00 0:05 /usr/bin/log --daemon更棘手的是这些木马通常会禁用系统防火墙ufw disable创建多个定时任务cron jobs确保持久化安装多个守护进程相互保护修改文件属性防止被删除chattr i2. sysdig系统监控的瑞士军刀当传统工具失效时sysdig就成为了我们的终极武器。这个开源的系统监控工具可以提供实时的系统调用监控容器级别的可见性强大的过滤和输出能力脚本化的分析功能2.1 安装与基本使用# Ubuntu/Debian sudo apt-get install -y sysdig # CentOS/RHEL sudo yum install -y sysdig # 基本使用监控CPU使用率最高的进程 sudo sysdig -c topprocs_cpu2.2 高级排查技巧查找异常进程# 查找CPU使用率高但不在top中显示的进程 sudo sysdig -pc -c topprocs_cpu evt.typeexecve and proc.cpu50 # 追踪特定进程的系统调用 sudo sysdig proc.name可疑进程名分析文件活动# 查看最近被修改的可执行文件 sudo sysdig -A -c echo_fds fd.typefile and evt.typeopen and fd.name contains .sh or fd.name contains .log # 查找隐藏的挖矿程序 sudo sysdig -l | grep -i miner网络连接分析# 查看异常外连 sudo sysdig -c netstat # 追踪特定IP的连接 sudo sysdig -A -c echo_fds fd.ip可疑IP3. 深度取证挖矿木马的常见藏身之处通过分析多起案例我们发现这些挖矿木马通常隐藏在以下位置位置示例检测方法/tmp目录/tmp/.logls -la /tmp/dev/shm/dev/shm/ntoolsls -la /dev/shm系统服务/etc/systemd/system/可疑.servicesystemctl list-units --typeservice定时任务/etc/cron.hourly/随机名ls -la /etc/cron.*用户cron/var/spool/cron/用户名sudo ls -la /var/spool/cronSSH授权密钥~/.ssh/authorized_keys检查异常公钥持久化机制分析# 检查系统服务 sudo systemctl list-unit-files --typeservice | grep enabled # 检查所有定时任务 sudo ls -la /etc/cron*/* /var/spool/cron/* 2/dev/null # 检查开机启动项 sudo ls -la /etc/init.d/ /etc/rc.local4. 完整清除方案从检测到防御4.1 检测与清除步骤定位恶意进程sudo sysdig -c topprocs_cpu sudo sysdig -c spy_users追踪进程关联文件sudo sysdig -p%proc.name %proc.pid %fd.name proc.pid可疑PID检查文件属性lsattr 可疑文件 chattr -i 可疑文件 # 移除不可修改属性彻底删除sudo rm -f 可疑文件 sudo systemctl disable 可疑服务 sudo crontab -r -u 可疑用户4.2 防御加固措施SSH安全加固# 禁用root登录 sudo sed -i s/^PermitRootLogin.*/PermitRootLogin no/ /etc/ssh/sshd_config # 修改SSH端口 sudo sed -i s/^#Port 22/Port 2222/ /etc/ssh/sshd_config # 启用密钥认证 sudo sed -i s/^#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config sudo systemctl restart sshd防火墙配置sudo ufw enable sudo ufw default deny incoming sudo ufw allow 2222/tcp # 新SSH端口 sudo ufw allow http sudo ufw allow https定期监控脚本#!/bin/bash # 监控异常CPU使用 abnormal_procs$(sysdig -c topprocs_cpu proc.cpu30 -M 10 -n 1) if [ ! -z $abnormal_procs ]; then echo 发现异常进程 echo $abnormal_procs # 发送警报... fi # 检查可疑文件修改 suspicious_files$(sysdig -A -c echo_fds fd.name contains .log and evt.typeopen and proc.name!sysdig -M 10) if [ ! -z $suspicious_files ]; then echo 发现可疑文件访问 echo $suspicious_files fi5. 真实案例分析一次完整的挖矿木马清除过程最近处理的一台服务器案例中攻击者使用了以下高级技巧将挖矿程序伪装成/usr/sbin/ntools进程名显示为ntools --daemon创建了多个systemd服务确保持久化在/etc/cron.hourly中放置了随机名的定时任务修改了文件属性防止被删除chattr i动态调整CPU使用率避开监控通过sysdig我们最终定位到了这个狡猾的进程sudo sysdig -c spectrogram proc.namentools这个命令显示了ntools进程的系统调用频率明显高于正常进程。进一步追踪发现它定期连接到一个境外IP确认是xmrig挖矿程序。清除后我们实施了全套防御措施服务器至今运行稳定。

相关文章:

别再只盯着top命令了!用sysdig揪出Linux服务器上伪装成log、ntools的xmrig挖矿木马

深度追踪:用sysdig揪出Linux服务器上伪装成log、ntools的xmrig挖矿木马 当服务器CPU突然飙高,而top命令却显示一切正常时,作为运维工程师的你一定知道事情没那么简单。最近,一种新型的xmrig挖矿木马正在Linux服务器上肆虐&#xf…...

编程日记 2026/3/29 4:47:24

OpenClaw低代码方案:Qwen3-32B将Excel需求转为自动化流程

OpenClaw低代码方案:Qwen3-32B将Excel需求转为自动化流程 1. 从Excel到ERP的自动化困境 上周市场部的同事又来找我帮忙了。他们每天要手动将几十份Excel表格里的客户订单录入到公司老旧的ERP系统里——这个上世纪风格的绿色界面软件,既没有批量导入功能…...

编程日记 2026/3/31 13:40:20

资源优化挑战:如何用轻量级字体解决嵌入式系统中文显示难题

资源优化挑战:如何用轻量级字体解决嵌入式系统中文显示难题 【免费下载链接】LxgwWenKai LxgwWenKai: 这是一个开源的中文字体项目,提供了多种版本的字体文件,适用于不同的使用场景,包括屏幕阅读、轻便版、GB规范字形和TC旧字形版…...

编程日记 2026/3/29 4:47:24

开发者必备:OpenClaw+Qwen3-32B镜像调试Python脚本全攻略

开发者必备:OpenClawQwen3-32B镜像调试Python脚本全攻略 1. 为什么选择OpenClawQwen3-32B组合? 去年冬天调试一个图像处理项目时,我每天要反复执行十几个Python脚本,手动检查日志、截图比对结果。直到发现OpenClaw这个"数字…...

编程日记 2026/3/31 5:49:28

单片机串口通信原理与应用详解

单片机串口通信技术详解1. 串口通信基础概念1.1 串行通信原理串行通信是一种仅使用一根接收线(RX)和一根发送线(TX)进行数据传输的通信方式。与并行通信相比,虽然传输速度较慢,但具有布线简单、成本低的优势。典型的串口通信系统包含三根基本信号线&…...

编程日记 2026/3/31 22:18:02

Tina Linux 适配 RTL8733bs WIFI 模块:从设备树到网络连接全流程解析

1. 硬件接口配置与设备树修改 第一次接触RTL8733bs这个Wi-Fi/蓝牙二合一模块时,我花了两天时间才搞明白硬件连接和设备树配置的关系。这个模块通过SDIO接口与全志V853主控通信,蓝牙部分则使用UART接口。下面我就把踩过的坑和验证过的正确配置分享给大家。…...

编程日记 2026/4/1 2:29:05

ollama-QwQ-32B模型微调:提升OpenClaw任务执行准确率的实战方法

ollama-QwQ-32B模型微调:提升OpenClaw任务执行准确率的实战方法 1. 为什么需要微调模型来优化OpenClaw 上周三凌晨3点,我被一阵刺耳的提示音惊醒——OpenClaw又闯祸了。它本应自动整理我的项目文档,却误删了3个关键文件夹,还把桌…...

编程日记 2026/3/29 4:45:23

智能仓储环境监控避坑指南:51单片机系统常见问题与解决方案

智能仓储环境监控避坑指南:51单片机系统常见问题与解决方案 在工业4.0时代,智能仓储系统的稳定运行直接关系到企业供应链效率。作为核心控制单元,51单片机以其高性价比和成熟生态,在中小型仓储环境监控中占据重要地位。然而实际部…...

编程日记 2026/3/31 9:03:19

OpenClaw配置备份指南:Qwen3.5-9B环境快速迁移与恢复方法

OpenClaw配置备份指南:Qwen3.5-9B环境快速迁移与恢复方法 1. 为什么需要备份OpenClaw配置? 上周我的主力开发机突然硬盘故障,导致辛苦配置了两个月的OpenClaw环境全部丢失。最痛苦的不是重装软件,而是那些精心调试的模型参数、技…...

编程日记 2026/4/1 6:23:49

用ESP32和VS1053模块DIY网络收音机:从硬件接线到Arduino代码调试全流程

用ESP32和VS1053打造智能网络收音机:从元器件选型到音频流调试实战 在物联网和智能硬件蓬勃发展的今天,ESP32凭借其出色的无线连接能力和丰富的外设接口,成为DIY音频项目的理想选择。本文将手把手带你完成一个功能完整的网络收音机项目&#…...

编程日记 2026/3/29 4:45:23

从XJTUSE编译原理小测出发:手把手教你用Python实现一个简易的词法分析器

从理论到实践:用Python构建词法分析器的完整指南 编译原理常被视为计算机科学中的"玄学"——课堂上听得云里雾里,考试时全靠死记硬背。但当我第一次用Python实现了一个能识别简单算术表达式的词法分析器后,那些抽象的状态转换图、有…...

编程日记 2026/3/29 4:43:23

OpenClaw+GLM-4.7-Flash:自动化测试脚本生成器

OpenClawGLM-4.7-Flash:自动化测试脚本生成器 1. 为什么需要自动化测试脚本生成 作为一名长期奋战在一线的开发者,我深知测试环节的重要性与繁琐程度。每当项目进入测试阶段,编写测试用例和脚本往往要占据整个开发周期的30%-40%时间。更令人头…...

编程日记 2026/3/31 14:04:36

告别Keil5新建工程手忙脚乱:GD32F303保姆级环境搭建与文件管理心法

告别Keil5新建工程手忙脚乱:GD32F303保姆级环境搭建与文件管理心法 第一次打开Keil5新建GD32工程时,面对官网下载的几十个库文件,你是否感到无从下手?明明跟着教程一步步操作,最后却发现工程文件散落各处,移…...

编程日记 2026/3/29 4:43:23

提升工作效率的利器:哦我的Claude代码(Oh-My-ClaudeCode)

轻松掌握Claude Code的多代理 orchestration——oh-my-claudecode 在我们的工程师和开发者面前,常常会遇到复杂的任务调度和多代理协作的问题。如何有效地利用可用的AI助手并提高工作效率,成为了一个不容忽视的挑战。oh-my-claudecode正是为了解决这些问…...

编程日记 2026/3/29 4:43:23

 轻松构建可信的智能代理:AgentScope框架介绍

什么是 AgentScope? AgentScope 是一个生产就绪的、易于使用的代理框架,它提供了与不断增强的模型能力相兼容的基本抽象,并且内置支持微调功能。我们为越来越具代理性的语言模型(LLMs)设计这种框架,方法是…...

编程日记 2026/3/31 11:16:00

OpenClaw新手避坑:Qwen3-32B镜像部署的10个常见错误

OpenClaw新手避坑:Qwen3-32B镜像部署的10个常见错误 1. 为什么Qwen3-32B镜像部署容易踩坑? 第一次在本地部署Qwen3-32B镜像对接OpenClaw时,我天真地以为只要按照文档操作就能一帆风顺。结果从环境配置到服务启动,整整折腾了两天…...

编程日记 2026/3/31 17:19:43

避坑指南:用Python调用腾讯混元大模型API时,你可能会遇到的5个常见错误及解决方法

避坑指南:用Python调用腾讯混元大模型API时,你可能会遇到的5个常见错误及解决方法 调试API接口就像在迷宫中寻找出口——每个转角都可能遇到意想不到的障碍。作为使用腾讯混元大模型的开发者,我在过去三个月里处理了超过200次API调用异常&…...

编程日记 2026/3/31 19:05:07

低成本硬件在环方案:不用NI/dSPACE如何实现Simulink+Carsim实时仿真

低成本硬件在环方案:不用NI/dSPACE如何实现SimulinkCarsim实时仿真 在汽车电子和自动驾驶研发领域,硬件在环(HIL)测试是验证控制算法可靠性的关键环节。传统方案依赖NI或dSPACE等昂贵设备,动辄数十万的投入让中小团队望…...

编程日记 2026/3/31 13:00:08

【信号处理实战】从原理到代码:手把手实现三次样条插值

1. 三次样条插值:从数学定义到生活场景 想象你正在用一根柔软的弹性尺子连接一组图钉,这些图钉固定在木板上代表你的数据点。这根尺子需要光滑地穿过每一个图钉,同时保持自然的弯曲形态——这就是三次样条插值要解决的问题。作为信号处理中最…...

编程日记 2026/3/31 13:18:56

模型调参实战指南:Temperature、Top-k与Top-p的黄金组合法则

1. 理解三大核心参数:从理论到实践 第一次接触大模型调参时,我被Temperature、Top-k和Top-p这三个参数搞得晕头转向。直到在真实项目中踩过几次坑后才明白,它们就像烹饪中的"盐、糖、醋"——看似简单,但配比不同就能产生…...

编程日记 2026/3/31 21:46:23

macOS专属方案:OpenClaw+nanobot镜像的5个效率技巧

macOS专属方案:OpenClawnanobot镜像的5个效率技巧 1. 为什么选择OpenClawnanobot组合 作为一个长期使用macOS的开发者,我一直在寻找能够提升日常工作效率的自动化工具。直到遇到OpenClaw和nanobot这个组合,才真正找到了适合个人使用的智能助…...

编程日记 2026/4/1 2:12:59

技术破局:B端拓客号码核验的痛点突围与行业新生态,氪迹科技法人股东 核验筛选系统,阶梯式价格

在B端拓客进入“精准致胜”的新时代,线索质量直接决定拓客成效,而号码核验作为筛选有效线索的“第一道门槛”,其服务水平直接影响拓客团队的投入回报与运营效率。当下,随着AI拓客技术的普及,号码核验已渗透到电销、金融…...

编程日记 2026/3/30 18:27:21

OpenClaw数据清洗:GLM-4-7-Flash智能修复CSV文件常见问题

OpenClaw数据清洗:GLM-4-7-Flash智能修复CSV文件常见问题 1. 为什么需要自动化数据清洗工具 作为数据分析师,我每天要处理大量来源各异的CSV文件。最头疼的不是分析本身,而是前期数据清洗——编码混乱、日期格式不统一、缺失值扎堆&#xf…...

编程日记 2026/3/31 6:15:40

极客玩法:OpenClaw+Qwen3-32B实现命令行AI增强

极客玩法:OpenClawQwen3-32B实现命令行AI增强 1. 为什么需要命令行AI助手? 作为一个常年与终端打交道的开发者,我发现自己每天要重复输入大量命令:查日志、部署服务、处理数据……这些操作往往需要记住复杂的参数组合&#xff0…...

编程日记 2026/3/31 9:55:12

GLM-OCR Python API详解:predict接口返回结构、置信度阈值设置与后处理

GLM-OCR Python API详解:predict接口返回结构、置信度阈值设置与后处理 1. 项目概述与环境准备 GLM-OCR 是一个基于先进多模态架构的高性能OCR识别模型,专门针对复杂文档理解场景设计。它不仅能识别常规文本,还支持表格识别、公式识别等高级…...

编程日记 2026/3/31 12:57:55

实战数据库设计:基于快马平台构建高并发在线考试系统核心数据层

今天想和大家分享一个实战项目——在线考试系统的数据库设计。这个项目是我在InsCode(快马)平台上完成的,整个过程让我深刻体会到合理的数据结构设计对系统性能的重要性。 核心表结构设计 在线考试系统的核心在于数据组织,我设计了5个主要表&#xff1…...

编程日记 2026/3/31 19:25:43

3步快速修复Netgear路由器变砖的终极解决方案

3步快速修复Netgear路由器变砖的终极解决方案 【免费下载链接】nmrpflash Netgear Unbrick Utility 项目地址: https://gitcode.com/gh_mirrors/nmr/nmrpflash 路由器变砖是许多网络设备用户最头疼的问题之一,特别是当固件升级失败或意外断电导致设备无法启动…...

编程日记 2026/3/29 4:37:20

AI辅助web开发新体验:让快马智能生成实时Markdown编辑器应用

今天想和大家分享一个特别实用的开发体验——用AI辅助快速构建一个实时Markdown编辑器。作为一个经常需要写技术文档的开发者,我一直希望能有个简洁高效的编辑器工具,这次尝试用InsCode(快马)平台的AI能力来实现这个需求,整个过程出乎意料的顺…...

编程日记 2026/3/31 16:30:43

OpenClaw+GLM-4.7-Flash语音交互:对接Whisper实现语音控制

OpenClawGLM-4.7-Flash语音交互:对接Whisper实现语音控制 1. 为什么需要语音交互的自动化助手? 去年冬天的一个深夜,我裹着毯子在书房调试代码时突然想到:如果能用语音控制电脑执行重复性任务,就不用反复在键盘和鼠标…...

编程日记 2026/3/31 3:31:37

如何快速解密Navicat加密密码?这款开源工具让数据库连接迁移更简单

如何快速解密Navicat加密密码?这款开源工具让数据库连接迁移更简单 【免费下载链接】navicat_password_decrypt 忘记navicat密码时,此工具可以帮您查看密码 项目地址: https://gitcode.com/gh_mirrors/na/navicat_password_decrypt 在数据库管理工作中&#…...

编程日记 2026/4/1 3:57:38