linux 挖矿木马，Linux杀毒软件

大家好，感谢邀请，今天来为大家分享一下linux 挖矿木马的问题，以及和Linux杀毒软件的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

2021年典型挖矿木马盘点

挖矿木马通过各种手段将挖矿程序植入计算机，非法利用系统资源进行挖矿，损害用户利益。组织如TeamTNT、H2Miner等传播挖矿木马，导致系统资源耗尽、硬件寿命缩短。安天CERT在2021年发布多篇分析报告，整理出当年典型的挖矿木马，形成家族概览，提供给公众参考。

挖矿木马对用户造成危害，包括系统资源占用和硬件寿命缩短。组织如Outlaw、Tor2Mine、TeamTNT、H2Miner、Satan DDoS和Sysrv-hello分别利用特定手段传播挖矿木马，如Outlaw利用漏洞入侵设备和服务器，Tor2Mine使用恶意软件和加密货币通信，TeamTNT针对云主机和容器环境，H2Miner利用Web组件漏洞，Satan DDoS具备DDoS和挖矿功能，Sysrv-hello具备多种攻击功能。

以Outlaw为例，其最初组建僵尸网络进行DDoS攻击，后开始植入挖矿木马，利用僵尸网络进行渗透和扩张。Tor2Mine则以挖取加密货币和提供恶意软件知名，使用PowerShell脚本和Mimikatz远程脚本获取管理权限，主动传播。TeamTNT主要针对云主机和容器环境，通过Kubernetes平台安装挖矿程序，利用扫描工具和后门木马，攻击大规模目标。H2Miner早期针对Linux平台，后扩展到Windows平台，利用Web组件漏洞入侵，植入挖矿程序。Satan DDoS僵尸网络具备DDoS和挖矿功能，利用漏洞武器扩展僵尸网络。Sysrv-hello具备多种攻击功能，利用网页文件或网站目录检查扩展挖矿木马传播范围。而“云铲”挖矿木马则在2021年被发现，硬编码特定云平台网段IP地址，进行暴力破解。HolesWarm则是一个跨平台的蠕虫病毒，利用多种漏洞植入挖矿木马，攻击范围广泛。

ld-linux-x86-64.so.2挖矿木马,排查操作记录

登录Linux系统，使用`top`指令检查CPU使用情况，发现名为`ld-linux-x86-64`的进程占用200%的CPU，疑似挖矿木马。记录进程ID为7531，开始排查。

执行`pwdx 7531`命令，发现该进程执行目录为`/usr/local/games/.cache`。使用`find/-name"ld-linux*"`命令确认，该木马位于`/usr/local/games/.cache`目录下。

注意，`/usr/lib64/ld-linux-x86-64.so.2`是系统文件，避免误删导致系统异常。进入木马所在目录，发现其包含`cron.d`、`run`、`stak3/stakcentosold/stakubuntunew`等文件。

进一步排查潜在进程，使用`ps-x| grep cache`和`ps-x| grep games`命令。实践证实，存在下载木马文件至`games`目录和解压`cache`目录并删除下载包的潜在进程。

清理操作包括：删除木马所在目录`/usr/local/games/.cache`，终止进程ID为7531的木马进程。删除命令分别为`rm-rf/usr/local/games/.cache`和`kill-9 7531`。

删除潜在进程后，务必再次确认`/usr/local/games/.cache`目录已被彻底清除。若先删除木马，潜在进程可能在清理前重新下载并解压木马，确保全面清理，避免残留。

linux实战清理挖矿病毒kthreaddi

系统报警，服务器CPU负荷100%，top命令异常，疑似命令被篡改。紧急安装BusyBox，获取真实top命令。

发现kthreaddi进程，研究后确认为门罗币挖矿木马，伪装度高，与系统正常进程类似。

尝试常规清理，但木马有守护进程，持续复生。检查系统定时任务，发现可疑命令并清理。

深入内核数据目录，找到挖矿进程相关文件，其中config.json包含配置信息和可疑美国IP。

总结，可能原因包括docker未启用TLS加密或redis密码强度不足。紧急停用docker，对redis密码强度进行加固。