杀毒，线上 Linux 服务器中挖矿病毒，如何处理？

2.1 断网并修改root密码在发现中了挖矿病毒后，一定要首先断网并修改root密码！！！

2.2 找出隐藏的挖矿进程这里利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。

# 安装 sysdig
sudo apt install sysdig
# 安装 unhide
sudo apt install unhide

# 输出cpu占用的排行，可以显示出隐藏的进程
sudo sysdig -c topprocs_cpu

# 搜索隐藏进程，proc目录下保存的是所有正在运行程序的进程ID，即PID
sudo unhide proc

systemctl status 3084 # 3084为病毒的PID
# 通过 netstat -natp 显示网络相关信息，查看是否存在异常IP
netstat -natp
# 对异常IP封禁
iptables -I INPUT -s IP -j DROP
# 检查是否已经成功添加
iptables -L INPUT -v -n

# 安装iptables-persistent
apt-get install iptables-persistent
# 将规则保存到配置文件
netfilter-persistent save
# 设置为开机自启
systemctl enable iptables
# 打开服务
systemctl start iptables

 查看是否有陌生公钥
cat ~/.ssh/authorized_keys

安装安全狗进行防护
安装说明请查看官网地址：https://www.safedog.cn/install_desc_server.html

操作手册：https://www.safedog.cn/download/software/safedogfwq_linux_Help.pdf

Linux病毒扫描工具ClamAV
https://www.moewah.com/archives/5296.html
对于 Debian/Ubuntu 系统，使用以下命令安装：

apt-get update
apt-get install clamav clamav-daemon
对于 CentOS/RHEL 系统，使用以下命令安装：

yum install epel-release -y
yum install clamav clamav-update -y

# 安装后，必须更新 ClamAV 的病毒数据库。这将帮助 ClamAV 识别并抵御最新的威胁。可以使用以下命令进行更新：

# 手动更新（首次安装后必须执行）
freshclam

clamscan --version | grep "ClamAV"

以下是 ClamAV 关于 clamscan 命令常见使用示例，更多用法请运行 clamscan -help 查看帮助文件：


# 扫描单个文件
clamscan /path/to/your/file

# 扫描整个目录
clamscan -r /path/to/directory
# 扫描压缩文件：
clamscan --multiscan --infected /path/to/archive.zip
# 自动删除检测到的病毒
clamscan --remove -r /path/to/directory

# 为扫描结果生成报告
clamscan -r /path/to/directory > scanreport.txt
# 扫描系统关键目录：
clamscan -r /etc /var /home --log=/var/log/system_scan.log
# 在扫描时显示病毒被发现的信息
clamscan -r --bell -i /path/to/directory
`curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig| sudo bash
`sysdig -pc -c topconns

常用命令

clamscan targetfile     ##文件扫描

–quiet：使用安静模式，仅仅打印出错误信息
-i：仅仅打印被感染的文件
-r：递归扫描，即扫描指定目录下的子目录
-d <文件>：以指定的文件作为病毒库，一代替默认的/var/clamav目录下的病毒库文件
-l <文件>：指定日志文件，以代替默认的/var/log/clamav/freshclam.log文件
–move= <目录>：把感染病毒的文件移动到指定目录
–remove：删除感染病毒的文件


clamscan -r -i /var -l /var/log/clamscan.log   ##这里扫描超级慢
clamscan -r -i /var --move=/home -l /var/log/clamscan.log
clamscan -r -i /home --remove -l /var/log/clamscan.log  ##删除配置文件并记录日志

📂 分类导航

▶ 学与练
- ▶ 软件技术基础
  - ▶ 操作系统技术
    - Linux实战
    - ▶ Linux技巧
      - debug-remote-api.md
  - ▶ 容器化与编排
    - Docker实战
    - ▶ Docker高级
- ▶ 前端开发技术
  - ▶ 框架与库
    - js
    - vue
  - ▶ 前端生态
    - bootstrap
    - vue-ssr
- ▶ 后端开发技术
  - ▶ 编程语言
    - ▶ Java
    - ▶ Go
      - go-server.md
      - mini.md
    - Rust
    - Python
    - csharp
  - ▶ 中间件
    - redis
    - ▶ minio
      - minio.md
    - elasticsearch
    - kafka
    - elk
    - caddy
  - ▶ 数据库
    - MySQL
    - SQLServer
    - ▶ Dameng
      - sql.md
    - clickhouse
- ▶ 数据开发与运维
  - ▶ 数据开发
    - hadoop
  - ▶ 运维开发
    - ▶ CI/CD
      - jenkins
    - ▶ 自动化
      - allinssl.md
    - ▶ 日志处理
      - elk
    - ▶ 监控
- 软件速学教程
▶ 软件园
- AI智能体与应用
- 开发工具与环境
- AI 开发和编排
- 业务与生产力应用
- 数据和中间件
▶ 工具箱
- 内容管理
- 编码解码
- ▶ 系统监控
  - miaotixing.md
- ▶ 日常工具
- 工具命令
- 使用教程

📚 杀毒，线上 Linux 服务器中挖矿病毒，如何处理？

📂 分类导航

📰 最新文章