我的云服务器被挖矿病毒攻破了，我是这样一步步救回来的

引言

作为一名独立开发者，我一直运营着自己的云服务器，用来部署服务和测试项目。今天我突然发现我的服务器响应非常缓慢，CPU 使用率飙升到 390%，几乎卡死。排查后，关联的app全部宕机显示后端服务不可用，一时间感觉天都要塌了,但作为一名老鸟程序员，遇事不能慌，一步一步来，登录上我的云服务器，我惊讶地发现服务器居然中了“挖矿病毒”。这篇文章记录了我从发现问题、清理病毒，到恢复服务、加固安全的全过程，希望对遇到类似情况的朋友有所帮助。

病毒特征识别

1. 系统异常表现

• 我的 CPU 使用率异常飙升（高达 390.7%）
• 内存持续吃紧，系统卡顿严重
• top 命令下出现多个可疑进程名

2. 我发现的可疑进程名

• kauditd0 - 看上去像系统进程，实际是伪装
• kthreadadd64 - 伪装成内核线程
• kswapd00 - 伪装成内存交换进程

这些进程的共同特点是：名字像系统进程，实际却异常耗资源。

我的清理步骤

第一步：终止病毒进程

我首先使用如下命令找到并杀掉了这些可疑进程：

ps aux | grep -E "(kauditd0|kthreadadd64|kswapd00)" | head -10
kill -9 <PID>

第二步：清理定时任务

我发现病毒添加了定时任务实现重启自启。为了保险起见，我直接清空了 crontab：

crontab -l
crontab -r

也可以只删含病毒路径的条目，如：

• /tmp/.kswapd00
• /root/.configrc7/

第三步：删除病毒文件

我删除了几个藏身的目录：

rm -rf /tmp/.kswapd00 /tmp/.X2A-unix/ /root/.configrc7/

第四步：排查隐藏可执行文件

我使用 find 命令排查所有隐藏目录中可能的可执行病毒文件：

find /tmp -name ".*" -type f -executable
find /root /home -name ".*" -type f -executable

第五步：排查自启动项

为了避免病毒开机自启，我检查了 systemd、init.d 和 timer：

systemctl list-timers --all
ls -la /etc/init.d/ | grep -E "(kaudit|kswapd|kthread)"

第六步：检查网络连接

确认病毒没有反向连接矿池：

netstat -tulpn | grep ESTABLISHED
ss -tulpn

第七步：重启系统

清理完之后，我重启系统确保一切清空：

reboot

第八步：验证清理效果

我再次检查系统资源是否恢复正常：

ps aux | grep -E "(kauditd0|kthreadadd64|kswapd00)" | grep -v grep
top
crontab -l

恢复 HTTPS 服务

由于之前服务卡死，导致 certbot 定时器停止，我这样检查并恢复：

systemctl status certbot.timer
certbot certificates
systemctl enable certbot.timer
systemctl start certbot.timer

我对 SSH 做了安全加固

安装并配置 fail2ban

apt install -y fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
cat > /etc/fail2ban/jail.d/sshd.conf << 'EOF'
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
EOF
systemctl enable fail2ban && systemctl start fail2ban

使用 SSH 密钥登录

我在本地生成了密钥：

ssh-keygen -t ed25519 -C "my_email@example.com"
cat ~/.ssh/id_ed25519.pub

然后把公钥追加到服务器：

echo "公钥内容" >> ~/.ssh/authorized_keys

并修改 sshd 配置：

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
cat > /etc/ssh/sshd_config.new << 'EOF'
# 安全配置
PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
MaxSessions 4
EOF
cp /etc/ssh/sshd_config.new /etc/ssh/sshd_config
systemctl restart sshd

我的日常防护策略

1. 定期巡检：

top
crontab -l
netstat -tulpn | grep ESTABLISHED
fail2ban-client status sshd

2. 安全更新与防火墙

apt update && apt upgrade -y
ufw enable
ufw default deny incoming
ufw allow ssh
ufw allow 80/tcp
ufw allow 443/tcp

3. 文件实时监控

inotifywait -m -r /tmp /root /etc/cron.d/ /etc/cron.*

病毒藏身的地方（我实际遇到的）

• /tmp/.kswapd00
• /tmp/.X2A-unix/
• /root/.configrc7/

我的经验教训

1. 养成定期检查系统资源的习惯
2. 清理前一定备份重要数据
3. 检查完病毒后，还要确认服务是否恢复
4. 不要只清理进程，一定连启动项、定时器都清掉
5. 最好使用密钥方式登录 SSH，并禁用密码
6. fail2ban 是个宝藏工具
7. 保持警觉，安全无小事

如果你也被感染了...

你可以试着按我的步骤操作，如果遇到问题可以查看这些日志：

journalctl -f
dmesg | tail
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

或者直接找更专业的人帮你一起处理。

适用系统： Ubuntu / Debian Linux
最后更新： 2025-07-31
文档版本： v2.0