服务器遭遇 XMRig 挖矿程序入侵排查与清理全记录

一、异常察觉

我的服务器配置本就不高，仅用于博客搭建，日常访问量也不大。但某天明显感觉服务器异常卡顿，通过 top 命令查看，发现 CPU 长期高负载，xmrig 进程疯狂占用资源，初步判断遭遇挖矿程序入侵。

二、XMRig是什么

XMRig 是专为门罗币（XMR）设计的 高性能 CPU 挖矿软件 ，基于 cpuminer-m 开发，还优化了容器环境运行能力，会疯狂榨取系统资源挖取加密货币，属于典型的 “资源小偷”。

三、挖矿进程追踪

1、进程定位

用 ps -ef | grep xmrig 命令一查，果然！xmrig 进程正以 root 高权限运行，肆无忌惮占用系统资源搞挖矿运算。
2、自启动溯源

1. 系统服务检查

• 执行 systemctl list-unit-files --state=enabled 排查开机自启服务，未直接找到 xmrig 相关服务，但后续发现恶意创建的 c3pool_miner.service 服务，配置文件中明确 ExecStart=/usr/workspace/xmrig --config=/usr/workspace/config.json ，用于实现挖矿程序自启动。
  
  
  
  

2. 定时任务挖掘

• 检查 /etc/crontab 、 /etc/cron.d/ 等定时任务目录。发现/etc/cronta最后一项每分钟都执行的任务，比较可疑，删除掉
  
  
  
  

3. 启动脚本排查

• 查看 ~/.bashrc 、 /etc/rc.local 等文件，确认是否存在恶意启动 xmrig 命令，防止挖矿程序通过用户登录脚本或系统启动脚本自启。
  

四、清理与修复过程

1、紧急终止进程

使用 sudo kill -9  （  为 xmrig 进程 ID ）强制终止挖矿进程，暂时缓解 CPU 高负载问题。
2、删除恶意服务与程序文件

1. 服务清理：
对 c3pool_miner.service ，依次执行：

1. sudo systemctl stop c3pool_miner.service  # 停服务  
2. sudo systemctl disable c3pool_miner.service  # 禁用自启  
3. sudo rm /etc/systemd/system/c3pool_miner.service  # 删配置文件  
4. sudo systemctl daemon-reload  # 重载系统服务配置  

复制代码

2. 删光程序文件
根据服务配置路径，找到 /usr/workspace/ 下的 xmrig 程序和 config.json ，执行：

1. sudo rm -rf /usr/workspace/xmrig  
2. sudo rm -rf /usr/workspace/config.json  

复制代码

3、预防复发措施

• 密码重置：改 root、sudo 用户及数据库密码，提升账号安全性，让攻击者 “进不来”。
  
• 端口收紧：只开放必要端口（如 Web 服务的 80、443 ），用防火墙限制无关连接，减少入侵入口。
  
• 系统更新：定期 sudo apt update、sudo apt upgrade ，及时打补丁、修漏洞，让系统 “无懈可击”。
  

五、总结与反思

这服务器遭遇 xmrig 挖矿程序入侵，暴露出系统安全防护存在不足。后续需加强服务器安全管理，定期进行安全检查与漏洞扫描，及时更新系统和软件，严格管控端口与服务，提升服务器整体安全性，避免再次遭受类似恶意程序攻击。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！