前置说明
Linux 整机 CPU 持续拉满至 100%、业务响应缓慢、带宽跑高,绝大多数场景是植入了 XMRig、minerd 等挖矿程序,常规 kill 进程会反复重生,仅结束进程治标不治本。下面逐条给出可直接复制操作的排查、查杀、溯源、加固完整技术方案。
思路 1:top/htop 快速定位异常高占用进程
- 执行 top 查看 CPU 占比排序,标记占用 CPU 近 100% 的 PID、进程名、执行路径;
- 进阶安装 htop 可视化:yum install htop / apt install htop,直观区分业务进程与陌生挖矿进程;
- 异常进程操作:kill -9 PID 临时终止,观察短时间内是否自动重启。
- 缺陷:仅杀掉运行进程,定时任务、后门、内核模块会再次拉起病毒。
思路 2:根据 PID 追踪程序真实文件路径
ls -l /proc/PID/exe
拿到挖矿程序完整存放目录,直接删除二进制文件:rm -rf 程序绝对路径。同步检查文件权限,若被锁定 chattr +i,先解锁:chattr -i 文件名 再删除。
思路 3:排查异常定时任务(病毒高频持久化方式)
挖矿病毒最爱写入 crontab 定时任务,定时重新下载启动木马:
- 查看当前用户定时任务:crontab -l
- 全局系统级定时任务:
ls /etc/cron.*cat /etc/crontab
发现陌生 URL、wget/curl 下载脚本、随机字符串命令,直接清空对应定时任务,删除恶意脚本。
思路 4:排查新增可疑系统用户与 SSH 后门账号
攻击者添加隐藏账号远程重投病毒:
cat /etc/passwd
检查 UID=0 非 root 账号、无名陌生运维账号;查看 SSH 登录日志:lastlog、/var/log/secure,封禁陌生 IP、修改 SSH 端口、禁用密码登录。
思路 5:检查系统启动项、systemd 恶意服务
病毒注册成系统服务开机自启:
systemctl list-unit-files | grep enabled
找到随机命名.service 陌生服务,停止并删除:
systemctl stop xxx.servicesystemctl disable xxx.servicerm /etc/systemd/system/xxx.service
思路 6:排查隐藏网络外联,阻断矿池通信
挖矿程序持续连接外网矿池地址消耗带宽:
netstat -antlp | grep PIDss -antlp
记录外联矿池 IP / 域名,防火墙拉黑:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="矿池IP" reject'firewall-cmd --reload
思路 7:排查 Rootkit 内核级隐藏病毒(反复复发核心原因)
常规命令看不到进程、top无异常但 CPU 依旧满载,大概率内核模块劫持:
- 检查可疑内核模块:lsmod
- 使用 rkhunter、chkrootkit 工具扫描 Rootkit:
yum install rkhunter
rkhunter --check
内核级病毒无法简单删文件处理,需要底层卸载恶意驱动、修复系统篡改项。
思路 8:排查容器 Docker 内部挖矿病毒
云环境容器化部署高频中招,宿主机正常但容器 CPU 跑满:
docker stats
定位异常容器,进入容器内部查杀,删除容器内恶意镜像,限制 Docker 挂载权限与外网访问权限。
思路 9:检索全盘恶意脚本、临时目录木马文件
病毒常藏匿 /tmp、/var/tmp、/dev/shm 等可写临时目录:
find /tmp -type f -exec rm -f {} ;find /var/tmp -name "*.sh" -o -name "minerd" -o -name "xmrig"
批量检索挖矿特征二进制文件,全盘清理残留。
思路 10:入侵溯源 + 全套安全加固,杜绝二次入侵
- 查看操作日志 history,确认攻击者执行过的入侵命令;
- 修补漏洞:进行攻击溯源,排查网络安全日志;
- 密钥登录、防火墙白名单、限制服务器出网域名;
- 部署实时监控,CPU 占用异常自动告警。
很多能临时把 CPU 使用率降下来,但没过几天 CPU 再次跑满:要么是没找到内核级 Rootkit 隐藏病毒,要么只删挖矿程序没修补入侵漏洞,攻击者随时能二次植入木马。尤其是生产业务服务器,CPU 满载会直接导致网站卡顿、接口超时、订单流失,手动逐层排查耗时几小时甚至一两天,业务持续受损得不偿失。
极创信息支持免费远程初步诊断,根据异常日志、外联信息精准判定病毒类型,按需匹配对应清理方案,不只单纯杀掉挖矿进程,同步做完全套服务器安全加固,一次根治不再复发,帮企业省下反复排查的人力成本,保障业务持续稳定运行。
