病毒排查：Linux 挖矿木马、恶意进程排查与清理基础

你的 VPS 突然 CPU 飙到 100%，SSH 卡顿，网站响应慢得像蜗牛——十有八九是中了挖矿木马。主机选的 Linux 教程里，这类问题被问得最多。别慌，本文直接给出一套从排查到清理的实战流程，照着做就能把恶意进程揪出来干掉。

如何快速定位 Linux 挖矿木马进程

挖矿木马的特征是占用大量 CPU 资源，所以第一步就是从 CPU 入手。别指望图形界面，用命令行才是服务器运维该有的姿势。

用 top 命令揪出 CPU 占用异常的进程

top -c

按 P 键按 CPU 使用率排序，观察前几个进程

如果看到一个进程叫 `xmrig`、`minerd` 或一串随机字符（比如 `kworker` 伪装），基本可以确定是挖矿木马。记住它的 PID。

用 ps 命令验证进程详情

ps aux –sort=-%cpu | head -10

列出 CPU 占用最高的 10 个进程，查看完整命令行

对比 `/proc/[PID]/exe` 能拿到可执行文件路径，这在后续清理中很关键。

排查网络连接：木马通常有外联地址

ss -tunp | grep -E 'ESTAB|SYN-SENT'

查看所有 TCP/UDP 连接，重点关注非 80/443 的端口和陌生 IP

挖矿木马会连到矿池，比如 `pool.minexmr.com` 或 `eth.2miners.com`。如果发现可疑连接，记下 PID 和 IP。

恶意进程的常见伪装与识别技巧

木马不会傻到直接叫 `xmrig`，它们会伪装成系统进程。老手才知道的坑：很多木马会替换 `crond` 或 `systemd` 名称，但路径在 `/tmp` 或 `/var/tmp`。

检查 crontab 定时任务

crontab -l

查看当前用户的计划任务，挖矿木马常通过 crontab 实现持久化

如果发现一行类似 `*/5 * * * * /tmp/.x/update.sh` 的内容，直接删掉。

查看启动项和服务

systemctl list-units –type=service –state=running | grep -v 'systemd'

列出所有运行中的服务，排查陌生服务名

ls -la /etc/systemd/system/*.service

查看服务文件，木马常在此处添加自启动

检查可疑文件：木马常藏在隐藏目录

find /tmp /var/tmp /dev/shm -type f -executable -mtime -7 2>/dev/null

查找最近 7 天内创建的、可执行的文件

挖矿木马喜欢用 `/dev/shm` 作为内存文件系统，重启后消失，但进程还在。

清理挖矿木马的标准操作步骤

找到恶意进程后，别急着 `kill -9`，先断掉它的后路。万一报错了别慌，按顺序来。

终止进程并删除文件

kill -9 PID

强制结束进程，如果杀不死，说明有守护进程，需要先停掉守护程序

rm -rf /可疑路径/木马文件

删除可执行文件和关联脚本

如果 `kill` 后进程又自动启动，说明有 crontab 或 systemd 服务在复活它。

清理 crontab 和 systemd 服务

crontab -r

清空当前用户的所有定时任务

systemctl disable 恶意服务名 && systemctl stop 恶意服务名

禁用并停止恶意服务

rm -f /etc/systemd/system/恶意服务名.service

删除服务文件

检查 SSH 公钥和后门

cat ~/.ssh/authorized_keys

查看是否有陌生公钥，木马会添加后门公钥以便远程控制

发现陌生公钥直接删掉，并检查 `/root/.ssh/` 目录是否被篡改。

老鸟叮嘱：清理后必做的安全加固

别以为杀掉进程就完事了。木马通常通过漏洞或弱密码入侵，不加固等于白干。

• 立即修改 root 密码，使用 16 位以上随机密码。

• 更新系统补丁：`yum update -y` 或 `apt update && apt upgrade -y`。

• 开启防火墙，只放行必要端口：`ufw allow 22/tcp` 之类。

• 安装 Fail2ban 防止暴力破解：`apt install fail2ban -y`。

• 定期扫描：用 `clamav` 或 `rkhunter` 做定期检查。

FAQ：Linux 挖矿木马排查常见问题

Q: Linux SSH 连不上怎么办？
A: 先检查网络连通性（`ping`），再确认 SSH 服务是否运行（`systemctl status sshd`）。如果木马修改了 sshd 配置或占用了 22 端口，重启服务或改端口。

Q: VPS 防火墙端口放行后还是访问不了是什么原因？
A: 检查系统防火墙（`iptables -L`）和云平台的安全组规则。另外，挖矿木马有时会修改 iptables 规则封锁 SSH 端口，可以用 `iptables -F` 临时清空规则测试。

Q: Linux 小白可以直接用 root 账号操作吗？
A: 排查挖矿木马时可以用 root，因为清理需要高权限。但日常运维建议禁用 root 远程登录，改用普通用户加 sudo。

Q: BBR 开启后为什么速度没有明显提升？
A: BBR 对网络延迟敏感，如果 VPS 本身带宽小或被木马占用了 CPU，BBR 效果有限。先确保没有恶意进程消耗资源。

Q: 挖矿木马清理后 CPU 还是高怎么办？
A: 可能残留了守护进程或内核模块。用 `lsmod | grep -i miner` 检查内核模块，用 `ps aux` 再次排查。如果还不行，建议重装系统。

Q: 如何预防挖矿木马再次入侵？
A: 禁用不必要的服务（如 Redis、Docker 的默认端口），定期更新软件，使用密钥登录 SSH，并开启日志监控（`auditd`）。