服务器运维之记录一次挖矿病毒查杀

一、背景说明在对一台业务服务器进行日常巡检时发现CPU使用率异常飙升长期维持在高位严重影响系统性能与业务稳定性。通过初步判断怀疑服务器已被植入挖矿病毒。挖矿病毒通常具备以下特征CPU持续高负载存在异常进程或随机命名的可执行文件存在异常定时任务或服务自启动项删除后容易“复活”因此本次排查重点围绕 定时任务 异常服务 可执行文件 展开。二、查杀过程1、排查定时任务首先查看系统中的定时任务目录#ls -al /etc/cron.*发现存在异常任务文件#cat /etc/cron.d/tJsxsfok内容如下#*/1 * * * * root /bin/e1EYdqcj 1 1可以看到每分钟执行一次调用 /bin/e1EYdqcj明显随机命名可疑 判断为挖矿程序的定时拉起机制2、删除恶意程序与定时任务先删除恶意执行文件#rm -rf /bin/e1EYdqcj然后清理所有相关定时任务#rm -rf /etc/cron.d/tJsxsfok#rm -rf /etc/cron.daily/P7x1bkCH#rm -rf /etc/cron.hourly/JGQCx373#rm -rf /etc/cron.monthly/nmCJTzBz#rm -rf /etc/cron.weekly/08yiczdq特点总结文件名均为随机字符串分布在多个cron周期目录具备“多点持久化”特征3、排查系统服务systemd进一步检查开机自启动服务#systemctl list-unit-files --typeservice | grep enabled查看非开机自启动服务查找随机码名称服务#systemctl list-unit-files --typeservice发现异常服务#cat /usr/lib/systemd/system/U9xZVRMs.service同时在 /etc/systemd/system/ 目录中也发现异常#cat /etc/systemd/system/TSW9NStb.service 特征服务名为随机字符串配置指向恶意程序4、删除恶意服务清理服务文件#rm -rf /usr/lib/systemd/system/U9xZVRMs.service#rm -rf /etc/systemd/system/TSW9NStb.service5、恢复验证处理完成后先停止服务再删除执行文件重启服务器再次验证最终结果 CPU使用率恢复正常系统负载回归稳定三、经验总结这次挖矿病毒处理虽然过程不复杂但具有典型代表性总结如下1、挖矿病毒常见特征文件名随机如e1EYdqcj、U9xZVRMs多重持久化机制cron定时任务systemd服务高CPU占用自动恢复能力强2、标准排查思路强烈建议收藏可以总结为“三板斧”1查定时任务#ls -al /etc/cron.*2查异常进程#top#ps -ef | grep 可疑进程3查自启动服务#systemctl list-unit-files --typeservice3、查杀关键点❗ 先删除拉起机制cron / service❗ 再删除恶意程序❗ 否则会被重新拉起4.、安全加固建议建议后续做好以下防护修改弱口令SSH / 数据库关闭不必要端口使用防火墙firewalld / iptables部署安全工具fail2banrkhunter / chkrootkit定期巡检CPU / 负载cron / systemd限制 /bin、/usr/bin 写权限必要时5、一句话总结挖矿病毒的核心不是“挖矿程序”而是“持续拉起机制”清除不彻底就一定会复发。