阿里云服务器CPU异常排查与挖矿病毒清除实战指南最近不少阿里云服务器用户反馈CPU使用率突然飙升到接近100%但通过常规的top命令却找不到具体占用资源的进程。这种情况极有可能是服务器感染了挖矿病毒特别是近期活跃的pamdicks变种。本文将带您一步步排查并彻底清除这类病毒恢复服务器正常运行。1. 初步排查识别隐藏的挖矿进程当服务器CPU使用率异常升高时大多数管理员的第一反应是使用top命令查看进程占用情况。但现代挖矿病毒往往会采用各种手段隐藏自己使得常规监控工具无法显示其真实活动。1.1 检查系统异常动态链接库首先执行以下命令检查是否存在异常的动态链接库加载cat /etc/ld.so.preload如果输出显示有.so文件如/usr/local/lib/libioset.so等这极可能是病毒用来隐藏自身进程的库文件。这些文件需要被立即删除rm -f /etc/ld.so.preload rm -f /usr/local/lib/libioset.so # 根据实际输出删除所有可疑.so文件1.2 查找隐藏的异常进程删除异常链接库后再次运行top命令此时可能会看到之前隐藏的异常进程。记录下这些进程的PID然后通过以下命令定位病毒文件位置ls -l /proc/{PID}/exe将{PID}替换为实际的进程ID该命令会显示进程对应的可执行文件路径。确认是病毒文件后先终止进程再删除文件kill -9 {PID} rm -f {病毒文件路径}2. 深度清理处理顽固的pamdicks病毒如果完成上述步骤后CPU使用率仍然居高不下很可能服务器感染了更顽固的pamdicks病毒变种。这类病毒通常会创建守护进程和定时任务确保自己被删除后能重新复活。2.1 定位并删除病毒主体首先定位pamdicks病毒文件的位置whereis pamdicks常见的病毒文件路径包括/usr/bin/pamdicks、/tmp/pamdicks等。找到后尝试删除rm -rf /usr/bin/pamdicks2.2 清理病毒相关进程和文件pamdicks病毒通常会伴随其他异常进程如异常的httpd、kworker等。使用以下命令查找并终止这些进程ps aux | grep -E httpd|kworker|pamdicks | grep -v grep kill -9 {相关进程PID}同时检查并清理病毒可能创建的定时任务crontab -l # 查看当前用户的定时任务 crontab -r # 删除当前用户的定时任务谨慎操作 ls /etc/cron* # 检查系统定时任务目录 rm -f /etc/cron*/可疑文件2.3 防止病毒文件被重新创建为防止病毒重新生成关键文件可以将重要目录设置为只读touch /usr/bin/pamdicks # 如果文件已被删除先创建一个空文件 chattr i /usr/bin/pamdicks # 设置为不可修改3. 解决常见清理障碍在实际清理过程中可能会遇到各种权限和工具被破坏的情况。以下是几个常见问题的解决方案。3.1 chattr命令无法使用的问题病毒可能会破坏系统工具导致chattr命令无法执行。如果遇到Permission denied错误可以尝试以下方法# 检查chattr命令是否被篡改 ls -l /usr/bin/chattr # 如果被篡改从其他正常机器复制或重新安装e2fsprogs包 yum reinstall e2fsprogs -y # CentOS/RHEL apt-get --reinstall install e2fsprogs -y # Ubuntu/Debian3.2 文件无法删除的情况某些病毒文件可能被设置为不可修改。使用以下步骤解除限制后再删除chattr -i {文件路径} # 移除不可修改属性 rm -f {文件路径}3.3 检查并修复SSH后门挖矿病毒通常会留下SSH后门以便再次入侵。检查以下文件是否有异常cat ~/.ssh/authorized_keys # 检查是否有未授权的公钥 cat /etc/ssh/sshd_config # 检查SSH配置是否被修改4. 清理后的系统加固成功清除病毒后应采取以下措施防止再次感染更新系统和软件yum update -y # CentOS/RHEL apt-get update apt-get upgrade -y # Ubuntu/Debian修改弱密码确保所有账户使用强密码特别是root和具有sudo权限的账户。安装安全防护工具# 安装fail2ban防止暴力破解 yum install fail2ban -y # CentOS/RHEL apt-get install fail2ban -y # Ubuntu/Debian # 安装并配置防火墙 systemctl start firewalld systemctl enable firewalld firewall-cmd --permanent --add-servicessh firewall-cmd --reload定期监控系统资源设置报警规则当CPU、内存使用率异常时及时通知。限制不必要的网络访问通过安全组规则限制服务器的入站和出站连接特别是挖矿常用的3333、5555、7777等端口。
阿里云服务器CPU爆满?手把手教你排查并清除Linux挖矿病毒(附pamdicks专杀技巧)
阿里云服务器CPU异常排查与挖矿病毒清除实战指南最近不少阿里云服务器用户反馈CPU使用率突然飙升到接近100%但通过常规的top命令却找不到具体占用资源的进程。这种情况极有可能是服务器感染了挖矿病毒特别是近期活跃的pamdicks变种。本文将带您一步步排查并彻底清除这类病毒恢复服务器正常运行。1. 初步排查识别隐藏的挖矿进程当服务器CPU使用率异常升高时大多数管理员的第一反应是使用top命令查看进程占用情况。但现代挖矿病毒往往会采用各种手段隐藏自己使得常规监控工具无法显示其真实活动。1.1 检查系统异常动态链接库首先执行以下命令检查是否存在异常的动态链接库加载cat /etc/ld.so.preload如果输出显示有.so文件如/usr/local/lib/libioset.so等这极可能是病毒用来隐藏自身进程的库文件。这些文件需要被立即删除rm -f /etc/ld.so.preload rm -f /usr/local/lib/libioset.so # 根据实际输出删除所有可疑.so文件1.2 查找隐藏的异常进程删除异常链接库后再次运行top命令此时可能会看到之前隐藏的异常进程。记录下这些进程的PID然后通过以下命令定位病毒文件位置ls -l /proc/{PID}/exe将{PID}替换为实际的进程ID该命令会显示进程对应的可执行文件路径。确认是病毒文件后先终止进程再删除文件kill -9 {PID} rm -f {病毒文件路径}2. 深度清理处理顽固的pamdicks病毒如果完成上述步骤后CPU使用率仍然居高不下很可能服务器感染了更顽固的pamdicks病毒变种。这类病毒通常会创建守护进程和定时任务确保自己被删除后能重新复活。2.1 定位并删除病毒主体首先定位pamdicks病毒文件的位置whereis pamdicks常见的病毒文件路径包括/usr/bin/pamdicks、/tmp/pamdicks等。找到后尝试删除rm -rf /usr/bin/pamdicks2.2 清理病毒相关进程和文件pamdicks病毒通常会伴随其他异常进程如异常的httpd、kworker等。使用以下命令查找并终止这些进程ps aux | grep -E httpd|kworker|pamdicks | grep -v grep kill -9 {相关进程PID}同时检查并清理病毒可能创建的定时任务crontab -l # 查看当前用户的定时任务 crontab -r # 删除当前用户的定时任务谨慎操作 ls /etc/cron* # 检查系统定时任务目录 rm -f /etc/cron*/可疑文件2.3 防止病毒文件被重新创建为防止病毒重新生成关键文件可以将重要目录设置为只读touch /usr/bin/pamdicks # 如果文件已被删除先创建一个空文件 chattr i /usr/bin/pamdicks # 设置为不可修改3. 解决常见清理障碍在实际清理过程中可能会遇到各种权限和工具被破坏的情况。以下是几个常见问题的解决方案。3.1 chattr命令无法使用的问题病毒可能会破坏系统工具导致chattr命令无法执行。如果遇到Permission denied错误可以尝试以下方法# 检查chattr命令是否被篡改 ls -l /usr/bin/chattr # 如果被篡改从其他正常机器复制或重新安装e2fsprogs包 yum reinstall e2fsprogs -y # CentOS/RHEL apt-get --reinstall install e2fsprogs -y # Ubuntu/Debian3.2 文件无法删除的情况某些病毒文件可能被设置为不可修改。使用以下步骤解除限制后再删除chattr -i {文件路径} # 移除不可修改属性 rm -f {文件路径}3.3 检查并修复SSH后门挖矿病毒通常会留下SSH后门以便再次入侵。检查以下文件是否有异常cat ~/.ssh/authorized_keys # 检查是否有未授权的公钥 cat /etc/ssh/sshd_config # 检查SSH配置是否被修改4. 清理后的系统加固成功清除病毒后应采取以下措施防止再次感染更新系统和软件yum update -y # CentOS/RHEL apt-get update apt-get upgrade -y # Ubuntu/Debian修改弱密码确保所有账户使用强密码特别是root和具有sudo权限的账户。安装安全防护工具# 安装fail2ban防止暴力破解 yum install fail2ban -y # CentOS/RHEL apt-get install fail2ban -y # Ubuntu/Debian # 安装并配置防火墙 systemctl start firewalld systemctl enable firewalld firewall-cmd --permanent --add-servicessh firewall-cmd --reload定期监控系统资源设置报警规则当CPU、内存使用率异常时及时通知。限制不必要的网络访问通过安全组规则限制服务器的入站和出站连接特别是挖矿常用的3333、5555、7777等端口。
