password
icon
AI summary
实验室服务器遭到挖矿病毒攻击,黑客通过设置后门账户控制系统。经过一系列清除操作,成功删除病毒及其守护服务。
type
Post
status
Published
date
Jul 5, 2025
slug
kawpow
summary
实验室服务器遭到挖矿病毒攻击,黑客通过设置后门账户控制系统。经过一系列清除操作,成功删除病毒及其守护服务。
tags
Linux
category
工程
背景:异常的算力流失
对于科研环境而言,服务器的算力即是生产力。近日,实验室的一台服务器出现远程连接异常(SSH 无法建立连接),经物理终端排查,发现部分基础系统服务(systemd, sshd)损坏。在尝试修复基础环境的过程中,接到信息中心通报:该服务器疑似存在挖矿行为。
一、 现场排查与初步定性
通过
htop 监测系统资源,发现 CPU 核心长期处于高负载状态。异常进程 nvc 尤为显眼,其参数直接暴露了意图:kawpow 是常见的加密货币算法,这确认了服务器已被植入挖矿木马。
在尝试使用 kill -9 终止进程后,该进程随即自动重启。这表明攻击者部署了守护进程(Watchdog)或利用了系统服务进行持久化。二、 溯源分析:守护进程与最高权限后门
1. 服务层面的持久化
排查
cron 定时任务未果后,转向 systemd 服务列表。发现可疑服务 nvmon.service,经确认,该服务即为 nvc 挖矿进程的“守护者”,负责在进程被杀后重新拉起。2. 账户层面的提权(高危)
在排查
/etc/passwd 时,发现了一个名为 xdp 的异常账户:
该账户的 UID 被显式设置为 0。在 Linux 体系中,UID 0 等同于 Root 权限。这意味着攻击者不仅是在“偷算力”,而是已经完成了系统最高权限的提权。这是一个典型的后门账户,攻击者可借此绕过常规鉴权,随时对系统进行破坏或作为跳板攻击内网。
三、 处置过程:攻克 chattr 文件锁
清除工作的核心在于切断守护机制并移除不可变文件。
Step 1:阻断守护服务
优先停止服务并禁用开机自启,防止病毒在清理过程中再生:
Step 2:解除文件属性锁定
在尝试删除
/usr/bin/nvc和 /etc/systemd/system/nvmon.service时,系统返回 Operation not permitted。
这是 Rootkit 常见的对抗手段。使用 lsattr 检查文件属性:文件被赋予了
i (immutable,不可变)和 a (append-only,仅追加)属性,导致Root用户也无法直接删除。使用 chattr 解锁后,成功完全清楚:Step 3:解除文件属性锁定
由于
xdp 账户可能绑定了残留的僵尸进程,导致标准 userdel 命令失效。为彻底清除,对系统账户文件进行了手动编辑(操作前已备份):
直接从 /etc/passwd、/etc/shadow 和 /etc/group 中剔除包含 xdp 的记录。至此,资源监控恢复正常,异常流量消失。
四、 安全复盘与思考
虽然本次手动清理恢复了算力,但从安全工程的角度来看,系统信任链已被打破。
攻击者既然能写入 UID 0 账户并修改 systemd 配置,说明其曾拥有完整的 Root 访问权。现有的排查手段难以完全排除内核级 Rootkit 或更隐蔽的定时任务(如利用动态链接库劫持等)。
此次事件也暴露出实验室内网安全管理的薄弱环节:
- 弱口令问题:需排查是否因 SSH 弱口令导致的爆破。
- 网络隔离:科研网段应加强入站规则限制。
- 重装原则:鉴于系统已被深度渗透,最安全的方案仍是备份数据后重装系统,而非依赖“杀毒”
