Linux主机被入侵系列3：挖矿进程被隐藏

1、现象

    服务器反应慢、top查看cpu使用低，ni值100，vmstat查看cpu使用率高；

    ps也无法看到相关进程；

    netstat可以看到异常连接，对方IP通过Virustotal 查询为矿池；

2、入侵漏洞

    redis未授权访问问题

3、排查方法

    通过find查找入侵时间范围内被修改文件， /etc/ld.so.preload需要尤其注意。

4、隐藏机制

    通过修改/etc/ld.so.preload，加载一个so，如/usr/local/lib/libjdk.so，然后修改该so，导致top时过滤掉挖矿进程。

删除ld.so.preload内相关内容，即可通过top看到挖矿进程（期间可能需要重启）。

so过滤机制详见：https://www.freebuf.com/vuls/175709.html

5、如何启动挖矿进程

    不通过conrtab，而是修改其他初始进程，如/etc/rc.d/init.d/network，在脚本内部加入挖矿进程的启动命令，极具隐蔽性。

6、其他修改

 /etc/resolv.conf

/etc/hosts

iptables相关策略

关闭selinux

7、修复

修复相关配置文件、清理挖矿进程文件、修复redis漏洞。