进程运行:
./dkmsiox –donate-level 1 -o 127.0.0.1:11337 -u wo0 -a rx/0 -k -B
查看 11337 端口的监听进程:
ss -tulnp | grep 11337
lsof -i :11337
如果发现异常进程(如 ./dkmsiox),记录其 PID 并检查:
ls -la /proc/<PID>/exe # 查看真实路径比如已找到进程5042
[root@ecs ~]# ss -tulnp | grep 11337 tcp LISTEN 0 1 *:11337 *:* users:((“kernel-modules”,pid=5042,fd=3))
1. 检查进程 5042 的详细信息
ps aux | grep 5042 ls -la /proc/5042/exe # 查看进程的真实路径 cat /proc/5042/cmdline # 查看启动命令
如果 /proc/5042/exe 指向 /dev/shm/dkmsiox,则确认是恶意程序。
2. 检查进程的 TCP 连接
查看该进程是否外连矿池或 C2 服务器:
ss -tulnp | grep 5042 netstat -antp | grep 5042 lsof -i -P -n | grep 5042
如果发现类似 stratum+tcp:// 或 xmrpool.eu 的连接,则是挖矿木马。
🔥 紧急处置步骤(在每台受感染服务器执行)
1️⃣ 立即终止恶意进程
#查找并杀死所有相关进程
sudo pkill -f "kernel-modules"
sudo pkill -f "dkmsiox"
2️⃣ 删除恶意服务
# 停止并禁用服务
sudo systemctl stop kernel-modules.service
sudo systemctl disable kernel-modules.service
# 彻底删除服务文件(关键!)
sudo rm -f /etc/systemd/system/kernel-modules.service
sudo rm -f /usr/lib/systemd/system/kernel-modules.service
sudo systemctl daemon-reload3️⃣ 清除恶意文件
# 删除已知恶意文件
sudo rm -f /usr/bin/kernel-modules # 主要二进制文件
sudo rm -f /dev/shm/dkmsiox # 内存驻留文件
sudo find / -name "*kernel-modules*" -delete 2>/dev/null4️⃣ 检查所有持久化入口
# 检查cron任务
sudo crontab -l
sudo ls -la /etc/cron* /var/spool/cron/
# 检查开机启动项
sudo ls -la /etc/rc.local /etc/rc.d/ /etc/profile.d/
# 检查动态链接劫持
sudo ls -la /etc/ld.so.preload🛡️ 安全加固
1️⃣使用iptables封锁指定端口
# 封锁入站和出站的11337端口(TCP)
sudo iptables -A INPUT -p tcp --dport 11337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 11337 -j DROP
# 同时封锁UDP(如果有必要)
sudo iptables -A INPUT -p udp --dport 11337 -j DROP
sudo iptables -A OUTPUT -p udp --dport 11337 -j DROP
# CentOS 6/7 保存规则
sudo service iptables save# 禁止外部访问本地回环端口
sudo iptables -A INPUT -i lo -p tcp --dport 11337 -j DROP#禁止可疑IP通信
sudo iptables -A OUTPUT -d xmrpool.eu -j DROP2️⃣ 关键防护措施
# 安装Rootkit检测工具
sudo yum install -y rkhunter
sudo rkhunter --check --sk
# 内存执行保护
sudo echo "kernel.exec-shield = 1" >> /etc/sysctl.conf
sudo sysctl -p3️⃣ 漏洞修复
#更新所有高危组件
sudo yum update -y openssl libcurl bash#禁用危险服务
sudo systemctl disable postfix cups最终建议
- 如果无法彻底清除,建议 备份数据后重装系统(尤其是生产服务器)。
该病毒也会将docker入侵,所以检查下机器是否有被安装过docker
docker ps #查看容器是否有repocket、cli_v2、watchtower[root@ecs ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
2659f58c2c03 repocket/repocket "/bin/sh -c 'node di…" 24 hours ago Up 54 seconds rpworker
1f7bfa104de1 containrrr/watchtower "/watchtower --clean…" 25 hours ago Up 54 seconds (healthy) 0.0.0.0:2095->8080/tcp, :::2095->8080/tcp watchtower
8eecac799f12 traffmonetizer/cli_v2:latest "./Cli start accept …" 25 hours ago Up 54 seconds tm停止容器并删除
docker ps里看到的CONTAINER ID 就是容器的ID
docker stop 2659f58c2c03 1f7bfa104de1 8eecac799f12docker rm 2659f58c2c03 1f7bfa104de1 8eecac799f12查看docker镜像并删除
docker imagesdocker rmi -f e7dd50d07b86 强制删除镜像若用不到docker请立即停止
#立即停止 Docker 服务
sudo systemctl stop docker docker.socket containerd#禁用 Docker 开机自启
sudo systemctl disable docker docker.socket containerd#卸载
sudo yum remove docker-ce docker-ce-cli containerd.io
sudo rm -rf /var/lib/docker /etc/docker
sudo rm -f /etc/apparmor.d/docker
sudo rm -rf /var/run/docker.sock