Linux 挖矿木马排查命令清单
1. 系统资源使用情况检查
# 查看CPU、内存使用情况
top -c# 检查CPU占用最高的进程
ps aux --sort=-%cpu# 查找可疑进程名
ps -ef | grep -i 'miner\|cpu\|GPU\|xmr'# 检查网络连接情况
lsof -i
2. 可疑进程和隐藏进程检查
# 检查僵尸进程
ps -ef | grep defunct# 检查隐藏进程(需要安装unhide工具)
unhide proc# 使用rootkit检查工具(需要安装)
chkrootkit
3. 系统启动项检查
# 检查系统服务
systemctl list-unit-files# 检查启动项
ls -la /etc/rc*.d/# 检查当前用户定时任务
crontab -l# 检查系统定时任务
ls -la /etc/cron.*# 检查所有用户的定时任务
ls -la /var/spool/cron/*
4. 网络连接检查
# 检查所有TCP连接
netstat -antlp# 检查所有UDP连接
netstat -anulp# 检查常见矿池端口
lsof -i :6666,7777,3333,14444# 检查防火墙规则
iptables -L
5. 文件系统检查
# 搜索可疑文件名
find / -name "*miner*"# 检查最近7天修改的文件
find / -type f -mtime -7 -ls# 检查临时目录
ls -la /tmp/# 检查大文件和异常目录
du -sh /* | sort -hr
6. 登录记录检查
# 检查登录历史
last# 查看当前登录用户
who# 检查认证日志
cat /var/log/auth.log# 检查命令历史
cat ~/.bash_history
7. 系统改动检查
# 检查是否有新增用户
cat /etc/passwd# 检查特权用户配置
cat /etc/sudoers# 检查关键系统文件是否被篡改
md5sum /bin/ps
8. 其他关键检查
# 检查加载的内核模块
lsmod# 查看内核模块详细信息
cat /proc/modules# 检查异常设备文件
ls -la /dev# 检查可疑进程的环境变量
strings /proc/[pid]/environ
9. 清理建议
# 终止可疑进程
kill -9 [PID]# 删除恶意文件
rm -rf [文件路径]# 解除文件锁定(如果文件被加锁)
chattr -i [文件路径]# 删除可疑用户
userdel [用户名]# 禁用可疑服务
systemctl disable [服务名]
注意:
- 在执行删除和终止操作前,请确保已经备份重要数据
- 某些命令需要root权限才能执行
- 建议在执行清理操作前先确认目标确实是恶意程序
- 部分工具(如unhide、chkrootkit)可能需要额外安装
)
5 - usbutils编译(更新lsusb))
)
)
)
