阿里云服務器被挖礦病毒入侵，CPU跑滿，需要先停止相關進程。為了根除病毒，還需要

• 解決系統的后門問題(這部分聽從阿里云工程師的建議備份系統盤快照后重置系統，再通過快照恢復數據)
• 然而重置系統后依然存在出現不定期挖礦程序跑滿CPU的問題，查找相關資料后找到了對應的進程的父進程(PID為1的守護進程)，刪除了相關的系統任務

一、挖礦進程處理

1. 通過top找到跑滿CPU的進程

   注：

   • 注意到CPU占用率極高，顯然就是PID為979的進程
   • 查找相關資料可知，c3pool為挖礦程序

2. 進而可以通過kill -9 pid殺死進程，但建議還是kill -SIGSTOP PID暫停進程，方便后續相關信息的查找

二、問題的根除

重置操作系統

1. 原因：“病毒一旦入侵系統，通常會執行替換系統命令、植入后門、修改計劃任務等等一些列操作，很難發現和完全根除。”
2. 解決：進入阿里云控制臺
   • 生成系統快照
   • 重置操作系統
   • 通過系統快照恢復數據

解決殘留問題

1. 原因：重置系統后依然存在出現不定期挖礦程序跑滿CPU的問題

2. 解決

   • 查看root用戶的定時任務：crontab -l

     注：發現并沒有

   • 查看守護進程下的服務

     參考：詳細解決服務器的挖礦病毒和端口掃描器 - 墨天輪 (modb.pro)

     • 通過cat /proc/979/status確定挖礦程序的父進程：PPID=1，即系統守護進程

     • 通過systemctl list-units --type=service --all --state=active查看系統進程的相關服務

       注：這里運氣很好，相關的服務名就是c3pool，直接定位到了病毒服務

     • 通過systemctl stop c3pool關閉病毒服務進程

     • 通過/etc/systemd/system找到病毒服務進程的配置文件，刪去即可

     • 重啟系統后，再次通過systemctl list-units --type=service --all --state=active查看系統守護進程的服務，沒有出現病毒服務進程，且之后沒有再出現挖礦程序，問題解決

三、其他建議

1. ssh端口不要使用默認的22，最好做一定的偏移，以防止被爬蟲掃描破解
2. 加強root賬戶的ssh密碼強度
3. 設置登錄IP的白名單
4. 使用阿里云快照定期備份，以及時恢復錯誤內容

總結

以上是生活随笔為你收集整理的linux云服务器病毒处理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。