Linux 挖礦木馬排查命令清單
1. 系統資源使用情況檢查
# 查看CPU、內存使用情況
top -c# 檢查CPU占用最高的進程
ps aux --sort=-%cpu# 查找可疑進程名
ps -ef | grep -i 'miner\|cpu\|GPU\|xmr'# 檢查網絡連接情況
lsof -i
2. 可疑進程和隱藏進程檢查
# 檢查僵尸進程
ps -ef | grep defunct# 檢查隱藏進程(需要安裝unhide工具)
unhide proc# 使用rootkit檢查工具(需要安裝)
chkrootkit
3. 系統啟動項檢查
# 檢查系統服務
systemctl list-unit-files# 檢查啟動項
ls -la /etc/rc*.d/# 檢查當前用戶定時任務
crontab -l# 檢查系統定時任務
ls -la /etc/cron.*# 檢查所有用戶的定時任務
ls -la /var/spool/cron/*
4. 網絡連接檢查
# 檢查所有TCP連接
netstat -antlp# 檢查所有UDP連接
netstat -anulp# 檢查常見礦池端口
lsof -i :6666,7777,3333,14444# 檢查防火墻規則
iptables -L
5. 文件系統檢查
# 搜索可疑文件名
find / -name "*miner*"# 檢查最近7天修改的文件
find / -type f -mtime -7 -ls# 檢查臨時目錄
ls -la /tmp/# 檢查大文件和異常目錄
du -sh /* | sort -hr
6. 登錄記錄檢查
# 檢查登錄歷史
last# 查看當前登錄用戶
who# 檢查認證日志
cat /var/log/auth.log# 檢查命令歷史
cat ~/.bash_history
7. 系統改動檢查
# 檢查是否有新增用戶
cat /etc/passwd# 檢查特權用戶配置
cat /etc/sudoers# 檢查關鍵系統文件是否被篡改
md5sum /bin/ps
8. 其他關鍵檢查
# 檢查加載的內核模塊
lsmod# 查看內核模塊詳細信息
cat /proc/modules# 檢查異常設備文件
ls -la /dev# 檢查可疑進程的環境變量
strings /proc/[pid]/environ
9. 清理建議
# 終止可疑進程
kill -9 [PID]# 刪除惡意文件
rm -rf [文件路徑]# 解除文件鎖定(如果文件被加鎖)
chattr -i [文件路徑]# 刪除可疑用戶
userdel [用戶名]# 禁用可疑服務
systemctl disable [服務名]
注意:
- 在執行刪除和終止操作前,請確保已經備份重要數據
- 某些命令需要root權限才能執行
- 建議在執行清理操作前先確認目標確實是惡意程序
- 部分工具(如unhide、chkrootkit)可能需要額外安裝
)
5 - usbutils編譯(更新lsusb))
)
)
)
