ECS实例异常连接请求 — 疑似入侵风险

您好，感谢您提交工单。我们已收到您的报告并升级至安全应急响应组处理。

根据您描述的症状（kdevtmpfsi 进程 + 外联 Tor 节点 + 端口 4444）， 初步判断为 DDG 矿机家族或类似的 Linux 挖矿/后门程序。 建议您立即执行以下紧急操作：

• 在安全组中封堵出站方向 4444/tcp 和 8443/tcp
• 通过云监控控制台确认 CPU 异常时段的具体进程列表
• 运行 chkrootkit 或 rkhunter 扫描 rootkit

我们正在进一步分析您提交的附件，稍后将给出详细处置建议。

感谢回复。已按建议在安全组封堵了相关端口，但进程仍在运行。 rkhunter 扫描发现 /tmp/.ICE-unix/ 目录下有可疑 ELF 文件，已截图上传。

另外发现 /etc/crontab 和 /var/spool/cron 下有新增的计划任务， 每5分钟从外部 URL 下载并执行脚本。CPU 占用依然很高， 服务响应已开始受影响，请尽快给出解决方案。

您好，经过我们的深入分析，确认该实例已被完整的 XMRig 矿机程序感染， 同时存在持久化后门（SSH 公钥植入 + cron 定时任务）。攻击者利用了 Spring4Shell 漏洞（CVE-2022-22965）进行初始突破。

详细处置方案：

• 删除可疑 cron 任务（/var/spool/cron/root 中的恶意条目）
• 清除 /tmp/.ICE-unix/ 及 /dev/shm/ 目录下的恶意文件
• 检查并清理 ~/.ssh/authorized_keys 中未知的公钥
• 升级 Spring Framework 至最新版本修复 CVE-2022-22965
• 在云安全中心开启"入侵检测"并设置自动隔离

考虑到感染深度，如果上述步骤无法完全清除，建议通过快照重建一个干净的实例镜像， 迁移业务数据后将受感染实例停机处置。我们的技术工程师可以远程协助，请确认是否需要。

已完成 cron 清理和文件删除，但进程在10分钟后再次出现。 怀疑还有其他持久化机制未清除。目前 CPU 占用已降至 62%，服务基本正常。 请问是否有必要对实例进行完整的磁盘取证？另外如果最终需要重建实例， 快照回滚操作是否会覆盖被感染的 /boot 分区？