- 版本 24.04
由于GPU多卡服务器多人使用,需要链接隧道ssh等,容易中招挖矿脚本。
总的思路是,顺着进程的PID回溯最终的程序运行起点,这里可以先看一下日志:
journalctl -u PID
通过 PID 精确定位进程的信息,包括其启动命令、用户等。
ps -ef | grep PID
也可以是命令本身:
ps -ef | grep python
1. 基本排查
1.1 Top命令
这个是看cpu进程的命令,
一般程序的进程不可能100%, 如果是多核,那么多个100%, 就是40个核长期跑满,就是4000%
就是有脚本启动了程序长期高负载占用cpu。
1.2 Nvidia-smi命令
如果发现显卡被未知程序长期占用,那肯定也是挖矿程序
2. 删除木马
用top确定进程后,如果删除后又出现,说明有其他程序在定时启动它,需要排查隐藏的文件。
2.1 查询定时启动程序
- 定时任务文件包括 /var/spool/cron/root和 /etc/crontab, 使用vi或vim修改时会提示无法修改(文件被锁定了),使用chattr可进行解锁,使用lsattr可以查看文件的锁定属性
crontab -l # 查看所有定时器
crontab -r # 全部清除定时任务
crontab -e # 编辑定时器
- 也可以通过文件查找
ubuntu的/etc目录下有cron.weekly、cron.daily、cron.hourly等存放定时任务的文件夹,
里面的脚本是否有/bin下的文件记录,就是可疑文件
2.2 查询守护进程
通过PID查看进程树:
systemctl status PID #这一步主要是插文件位置和守护进程的PID
或
strace -p
也可以:
cat /proc//stat
如果PPID(父进程 ID) 是 init(PID=1),说明它可能是一个守护进程。
如果TTY 字段是 0 或 ?,通常表明它是后台运行的。
找到守护进程的PID后,
systemctl stop PID #停止
systemctl disable PID #暂停开机启动
find / -name PID #找到位置
rm /usr/lib/systemd/system/.service #删掉
3. 常见报错 (有些忘记记录了,后面有再更新)
打开cmd出现:
ERROR: ld.so: object '/usr/local/lib/libSSL2.3.0.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored
分析:
这个是开机启动的服务,即病毒通过守护进程,随机命名一个启动进程(一般是一些系统程序名)运行
解决方法:
1.停止守护进程服务
2.删除守护进程
4. 总结
4.1 解决思路
如果只是简单的病毒,删除PID运行的文件即可
进一步的就是定时启动程序,及开机启动程序(守护进程-daemon, 也叫系统服务,是指在后台运行且不直接与用户交互的进程)
最后就是排查日志,另外做好权限管理,账户的密码尽量复杂一些,跑程序的普通用户不需要给
4.1 工作账户权限设置
- 工作账户只拥有访问必要文件的权限,例如读取配置文件、写入日志文件等
chmod 700 /path/to/program
- 将敏感文件(如配置文件中的密钥)限制为可读:
chmod 600 /path/to/config
-
如果要用到root权限(sudo),在/etc/sudoers设置可用的特殊命令
-
未来计划,用docker容器将工作程序与系统隔离
reference
https://blog.csdn.net/ouxx2009/article/details/123479424
https://blog.csdn.net/weixin_43312117/article/details/143647187