当前位置：首页 > article >正文

Linux服务器被植入挖矿木马后，除了删文件你还应该做的7件事（含UFW/密钥登录配置）

article 2026/4/30 10:05:57

Linux服务器遭遇挖矿木马后的深度安全加固指南当你的Linux服务器突然变得异常卡顿GPU占用率飙升到100%很可能已经沦为挖矿木马的肉鸡。很多管理员的第一反应是找到并删除可疑文件但这只是治标不治本。去年处理过数十起类似事件后我发现90%的二次入侵都源于不彻底的安全处置。本文将分享一套完整的发现-清除-加固闭环方案帮你真正堵住安全漏洞。1. 入侵途径分析揪出黑客的入口点删除/tmp/.x目录下的病毒文件只是第一步。去年某金融公司的案例显示黑客在清除病毒后72小时内就通过同一漏洞再次入侵。要避免这种情况必须彻底分析入侵路径。关键日志检查命令# 检查近期登录记录重点关注root账户 last -i | grep -E root|pts # 分析bash历史记录所有用户 for user in $(cut -f1 -d: /etc/passwd); do echo [$user]; cat /home/$user/.bash_history 2/dev/null; done # 检查异常进程记录 journalctl -xe --since 2 days ago | grep -i error\|fail\|unknown注意黑客通常会清理日志痕迹建议同时检查/var/log/secure、/var/log/auth.log等备份日志文件。通过交叉分析我们通常能发现以下典型入侵特征非常规时间段的root登录如凌晨2-4点来自特定IP的SSH爆破记录用户历史记录中的wget/curl下载可疑脚本异常的crontab或systemd服务创建2. 密码安全立即执行的紧急措施发现入侵后密码修改是优先级最高的操作。去年某电商平台因未及时修改密码导致黑客通过记录的SSH会话重新获得权限。必须执行的操作# 强制所有用户下次登录修改密码 for user in $(cut -f1 -d: /etc/passwd); do passwd -e $user echo 用户 $user 密码已过期需重新设置 done # 特别检查SUDO权限用户 grep -Po ^sudo.:\K.*$ /etc/group | tr , \n | xargs -I{} passwd -e {}密码强度建议长度至少16字符包含大小写字母、数字和特殊符号避免使用字典单词或常见组合不同服务使用不同密码3. 定时任务清理隐藏的持久化威胁挖矿木马最常用的持久化手段就是定时任务。曾遇到一个案例黑客设置了每分钟从远程服务器下载最新变种的恶意脚本。彻底清理步骤# 系统级定时任务 sudo rm -f /etc/cron.d/* sudo rm -f /etc/cron.daily/* sudo rm -f /etc/cron.hourly/* sudo rm -f /etc/cron.monthly/* sudo rm -f /etc/cron.weekly/* # 用户级定时任务 for user in $(cut -f1 -d: /etc/passwd); do echo 清理 $user 的crontab: crontab -u $user -r done # 检查隐藏的系统服务 systemctl list-units --typeservice --staterunning | grep -E \.service4. 网络层防护UFW防火墙实战配置UFW(Uncomplicated Firewall)是Ubuntu上简化iptables配置的工具。以下是针对挖矿攻击的优化配置# 基本配置 sudo ufw default deny incoming sudo ufw default allow outgoing # 放行必要端口根据实际情况调整 sudo ufw allow 22/tcp comment SSH sudo ufw allow 80,443/tcp comment Web服务 # 封禁恶意IP示例 sudo ufw deny from 10.115.10.129 sudo ufw deny from 185.143.223.0/24 # 启用防火墙 sudo ufw enable高级防护技巧限制SSH尝试次数sudo ufw limit 22/tcp封禁常见挖矿池端口sudo ufw deny 3333,5555,7777,8888,9999/tcp定期更新封禁列表wget -O /etc/ufw/blocked.list https://example.com/threat-intel5. SSH安全加固禁用密码登录基于密码的SSH认证是最大的安全隐患。某高校服务器集群在启用密钥认证后SSH攻击尝试下降了99.7%。密钥登录配置步骤# 客户端生成密钥对在本地机器执行 ssh-keygen -t ed25519 -f ~/.ssh/server_access # 将公钥上传到服务器 ssh-copy-id -i ~/.ssh/server_access.pub userserver # 服务器端配置/etc/ssh/sshd_config PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes ChallengeResponseAuthentication no # 重启SSH服务 sudo systemctl restart sshd密钥管理最佳实践为不同设备使用不同密钥密钥文件设置600权限定期轮换密钥建议每3-6个月对高权限账户使用硬件密钥如YubiKey6. 用户账户审查清除可疑账户黑客常会创建隐藏账户作为后门。去年处理的一个案例中攻击者创建了名为amax的用户与正常用户admin仅一字之差。账户审查命令# 检查异常用户 cut -d: -f1 /etc/passwd | grep -E -v ^(root|bin|daemon|mail|www) # 检查UID为0的账户除root外不应存在 awk -F: ($3 0) {print} /etc/passwd # 检查最近创建的用户 ls -lt /home | head # 删除可疑用户及关联文件 sudo userdel -r amax 2/dev/null sudo find / -user amax -exec rm -rf {} \; 2/dev/null7. 系统级防护进阶安全措施完成基础加固后这些进阶措施能提供更深层保护内核参数加固/etc/sysctl.confkernel.kptr_restrict 2 kernel.dmesg_restrict 1 kernel.perf_event_paranoid 3 net.ipv4.tcp_syncookies 1 net.ipv4.conf.all.rp_filter 1文件系统监控# 安装监控工具 sudo apt install auditd # 监控关键目录 sudo auditctl -w /etc/passwd -p wa -k identity sudo auditctl -w /etc/shadow -p wa -k identity sudo auditctl -w /tmp -p wa -k tmp_access定期安全扫描# 使用rkhunter检查rootkit sudo apt install rkhunter sudo rkhunter --check --sk # 使用lynis进行系统审计 sudo apt install lynis sudo lynis audit system真正的服务器安全不是一次性工作而是持续的过程。建议每月进行一次完整的安全审计关键系统甚至需要每周检查。记住安全防护的强度取决于最薄弱的环节全面加固才能确保万无一失。

Linux服务器被植入挖矿木马后，除了删文件你还应该做的7件事（含UFW/密钥登录配置）

相关文章：

Linux服务器被植入挖矿木马后，除了删文件你还应该做的7件事（含UFW/密钥登录配置）

【2024最新实践】：R语言调用Hugging Face模型+内置bias_test()函数实现端到端偏见扫描（仅需R 4.3.2+3个CRAN包）

如何在老旧电脑上安装Windows 11：MediaCreationTool.bat完整指南

告别试用期焦虑：IDE Eval Resetter让你的JetBrains工具永不过期

3个实战技巧掌握obs-virtual-cam：从零构建专业级虚拟摄像头系统

别再乱用MyBatisPlus的selectOne了！这3个坑我帮你踩过了（附正确用法）

手机端实时低光增强：手把手部署CVPR2020的ZeroDCE模型到Android (附TensorFlow Lite转换教程)

别再被X11报错卡住！手把手教你解决虚拟机里Java Swing程序显示不了的坑

Xilinx FPGA DDR3实战：手把手教你封装MIG IP，并搞定Vivado仿真（附TestBench）

MySQL主从复制报错13117？手把手教你排查并修复UUID冲突（附Docker环境实战）

WechatDecrypt：如何安全解密微信聊天记录数据库？

从Elasticsearch到Milvus：深入聊聊BM25在现代向量检索中的角色与局限

从代码解释器到AI代理沙盒：构建安全可扩展的执行环境

OpenClaw 101：一站式中文开发者指南与 Next.js 静态站点实践

避坑指南：Matlab处理MDF文件时，时间序列对齐与Simulink仿真的那些事儿

3分钟快速上手：AMD Ryzen处理器调试神器SMUDebugTool完整教程

5分钟掌握Windows驱动管理工具：释放系统盘空间，提升电脑性能

保姆级教程：在Ubuntu 20.04的Gazebo 11里，给机器人模型贴上AR识别二维码

C语言完美演绎9-8

如何快速使用TegraRcmGUI：面向新手的完整Switch注入工具指南

用 ChatGPT 5.5 的进阶思考与 Deep Research 打通 SOTA 文献阅读、改进实验到英文 SCI 写作全流程

5分钟掌握AssetRipper：Unity资产提取的完整解决方案

5步精通ESPTool实战：ESP芯片烧录与调试深度指南

GetBox-PyMOL-Plugin：5分钟掌握分子对接盒子计算的完整指南

GPT-5.5大模型深度应用指南：从架构原理到工业级智能体开发实践

避坑指南：在树莓派Ubuntu22.04上配置MCP2515 CAN接口时，为什么你的can0接口出不来？

Vivado 2018.3下ZYNQ QSPI固化失败？手把手教你用双FSBL工程搞定这个经典Bug

Azure AI-in-a-Box：企业级AI应用快速部署与最佳实践指南

Pixel Aurora Engine企业级部署：RBAC权限控制的像素生成SaaS服务

手把手教你用命令行备份ESXi 7.x/8.x配置，附自动下载脚本和防过期技巧