一、异常察觉我的服务器配置本就不高仅用于博客搭建日常访问量也不大。但某天明显感觉服务器异常卡顿通过 top 命令查看发现 CPU 长期高负载xmrig 进程疯狂占用资源初步判断遭遇挖矿程序入侵。二、XMRig是什么XMRig 是专为门罗币XMR设计的 高性能 CPU 挖矿软件 基于 cpuminer-m 开发还优化了容器环境运行能力会疯狂榨取系统资源挖取加密货币属于典型的 “资源小偷”。三、挖矿进程追踪1、进程定位用 ps -ef | grep xmrig 命令一查果然xmrig 进程正以 root 高权限运行肆无忌惮占用系统资源搞挖矿运算。2、自启动溯源1. 系统服务检查执行systemctl list-unit-files --stateenabled排查开机自启服务未直接找到xmrig相关服务但后续发现恶意创建的c3pool_miner.service服务配置文件中明确ExecStart/usr/workspace/xmrig --config/usr/workspace/config.json用于实现挖矿程序自启动。2. 定时任务挖掘检查/etc/crontab、/etc/cron.d/等定时任务目录。发现/etc/cronta最后一项每分钟都执行的任务比较可疑删除掉3. 启动脚本排查查看~/.bashrc、/etc/rc.local等文件确认是否存在恶意启动xmrig命令防止挖矿程序通过用户登录脚本或系统启动脚本自启。四、清理与修复过程1、紧急终止进程使用sudo kill -9 PID PID 为 xmrig 进程 ID 强制终止挖矿进程暂时缓解 CPU 高负载问题。2、删除恶意服务与程序文件1. 服务清理对c3pool_miner.service依次执行sudosystemctl stop c3pool_miner.service# 停服务sudosystemctl disable c3pool_miner.service# 禁用自启sudorm/etc/systemd/system/c3pool_miner.service# 删配置文件sudosystemctl daemon-reload# 重载系统服务配置2. 删光程序文件根据服务配置路径找到 /usr/workspace/ 下的 xmrig 程序和 config.json 执行sudorm-rf/usr/workspace/xmrigsudorm-rf/usr/workspace/config.json3、预防复发措施密码重置改 root、sudo 用户及数据库密码提升账号安全性让攻击者 “进不来”。端口收紧只开放必要端口如 Web 服务的 80、443 用防火墙限制无关连接减少入侵入口。系统更新定期 sudo apt update、sudo apt upgrade 及时打补丁、修漏洞让系统 “无懈可击”。五、总结与反思这服务器遭遇xmrig挖矿程序入侵暴露出系统安全防护存在不足。后续需加强服务器安全管理定期进行安全检查与漏洞扫描及时更新系统和软件严格管控端口与服务提升服务器整体安全性避免再次遭受类似恶意程序攻击。