一、紧急响应：隔离与初步处理

• 1.隔离受感染的服务器
  • 首先，断开受感染服务器与网络的连接，以防止病毒进一步传播。
• 2.清空 /etc/ld.so.preload 文件

echo "" > /etc/ld.so.preload

二、检测与清除挖矿病毒

• 1.终止可疑进程
  • 查看CPU使用率最高的进程：

ps aux | head -1; ps aux | grep -v PID | sort -rn -k +3 | head

• 强制结束挖矿进程（以PID为例）：

kill -s 9 2477

• 2.删除病毒文件
  • 删除 /var/spool/cron/ 下的所有定时任务：

rm -rf /var/spool/cron/*
chattr +i /var/spool/cron/

• 删除 /etc/cron.d/ 下的所有定时任务：

rm -rf /etc/cron.d/*
chattr +i /etc

• 删除特定的病毒文件：

rm -f /usr/local/lib/libs.so
chattr +i /usr/local/lib

• 删除其他相关文件：

rm -f /var/tmp/kworkerds*
rm -f /var/tmp/1.so
rm -f /tmp/kworkerds*
rm -f /tmp/1.so
rm -f /var/tmp/wc.conf
rm -f /tmp/wc.conf

• 3.检查和删除定时任务
  • 查看当前用户的定时任务：

crontab -l

• 编辑并删除定时任务：

crontab -e

• 查看 /etc/crontab 内容：

cat /etc/crontab

• 查看定时任务日志：

tail -f /var/log/cron

• 4.检查网络连接
  • 查看所有网络连接：

netstat -antp

• 关注与可疑IP地址的连接：

netstat -antp | grep ESTABLISHED

• 查看哪些进程打开了网络连接：

lsof -i

三、防护措施

• 1.锁定关键目录
  • 使用 chattr 命令为关键目录添加保护属性：

lsattr /etc
chattr +i /etc

• 2.修复和加固系统
  • 更新系统：

sudo apt-get update && sudo apt-get upgrade

• 或

sudo yum update

• 设置复杂密码，并定期更换。
• 3.安装安全软件
  • 安装防火墙和入侵检测系统，如 iptables 和 Fail2Ban。

四、总结

通过上述步骤，你可以有效应对Linux服务器被挖矿的问题，从紧急隔离到彻底清除病毒，再到加强防护措施，确保服务器的安全和稳定运行。安全防护是一个持续的过程，需要定期检查和更新防护策略。