病毒会悄悄占用大量 CPU 资源用于加密货币挖矿,导致服务器性能下降甚至宕机。本文将介绍排查服务器是否中挖矿病毒的常用方法与命令。客服 @LINKCLi_bot
一、常见感染症状
- CPU 占用率长期 100%
- 系统负载异常升高
- 出现可疑用户或计划任务
- 进程中出现陌生或无名的可执行文件
- 网络连接异常,对外连接大量陌生 IP 或端口
二、排查步骤与命令
1. 查看 CPU 占用情况
top -o %CPU可疑点:无命令名的进程(如 [kworker]、sysupdate、watchdog)、未知用户运行的高 CPU 占用程序。
2. 查看高占用进程路径
ps aux --sort=-%cpu | head -n 10ls -l /proc/<PID>/exe挖矿程序常驻于 /tmp、/dev/shm、/var/tmp 等目录,名称迷惑性强,如 kworker、xmrig、udevd。
3. 查找已知挖矿进程名
ps -ef | grep -E "xmr|mine|crypt|kdevtmp|kinsing|xmrig|coinhive" --color4. 检查开机启动项和计划任务
crontab -lls -l /etc/cron* /var/spool/cron/*查看是否存在自动下载/执行脚本,例如通过 curl/wget 拉取远程恶意代码。
5. 检查网络连接
netstat -tunlpss -antp重点关注进程是否与国外陌生 IP 通信,或长期占用 3333/4444/14444/5555 等常见挖矿端口。
6. 查异常启动文件
find /etc/init.d /etc/systemd -type f -exec grep -iE 'wget|curl|bash|sh' {} \;检查是否存在恶意开机自启脚本。
三、快速杀毒与应急建议
- 立即kill 掉高占用的可疑进程:
kill -9 <PID>- 移除计划任务、自启脚本中的病毒指令
- 查杀工具辅助(如
rkhunter、chkrootkit、云安全监控) - 更换 SSH 密码或关闭 root 登录
- 检查是否有后门用户存在
四、防护建议
- 关闭不必要的端口,开启防火墙(iptables、firewalld)
- 为 SSH 设置非默认端口,禁止密码登录,启用密钥认证
- 安装 Fail2Ban 防止爆破
- 使用主机入侵检测系统(如阿里云安骑士、腾讯云镜、安全狗等)
五、常见挖矿程序与特征表
| 程序名 | 描述 | 常见路径 |
|---|---|---|
xmrig |
最流行的门罗币挖矿程序 | /tmp/xmrig /dev/shm/.xmr |
kdevtmpfsi |
挖矿木马变种,常通过 rootkit 加载 | /dev/shm /tmp |
kinsing |
基于 Go 编写,攻击 Docker 和 Redis 漏洞 | /var/tmp/kinsing |
总结
通过系统的排查步骤,结合 CPU、进程、计划任务、网络连接等多维度信息,可以较为准确地判断服务器是否中挖矿病毒。加强日常安全配置与监控,是防范此类攻击的根本。
一旦确认感染,建议立刻隔离主机,排查入侵源头,并进行系统加固和安全加固,必要时重新部署系统。
联系我们 - LINK 云服务
LINK 提供香港、日本、韩国、美国等地区的云主机与独立服务器,支持站群、高防、大带宽、抗投诉,直连大陆三网,全球线路高速直达。
- 全球节点支持,大带宽接入
- 免费真机测试,满意再下单
- USDT 安全支付
- 域名注册支持隐私保护
