Linux服务器如何查杀挖矿木马

近日演示站服务器被黑，上行异常，宽带总是拉满，经过判断确定是被黑了，被加入的自启动的挖矿代码。

联系了服务器客服，二五仔客服没有解决方案，这就算了，居然让我重装宝塔。

该被黑的服务器中装了几十上百个站点，断然是不能整体重装的，只有自己想办法。

付费下载了个“宝塔任务管理器”，果然看到了异常的进程：除了work32以外，还会不断的生成随机英文名应用名称的进程，直接结束异常进场即可。

同时查看启动项，还注意到有用户自定义的自动脚本：/etc/rc.local

该脚本代码如下：

#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.

touch /var/lock/subsys/local
/opt/linux_ic/setme

sh /opt/linux_ic/disk.sh
/usr/.work/work32&

经过尝试发现该代码难以删除，无奈只能百度寻找答案，发现一篇文章：《Linux挖矿木马WorkMiner集中爆发，利用SSH暴力破解传播》与我的情况相似

病毒现象：

　　1、病毒启动后,会释放如下文件:

　　/tmp/xmr (xmrig挖矿程序)

　　/tmp/config.json (xmrig挖矿配置文件)

　　/tmp/secure.sh (封禁爆破IP)

　　/tmp/auth.sh (封禁爆破IP)

　　/usr/.work/work64 (病毒母体文件)

　　2、病毒进程

　　./work32-deamon

　　./work64 -deamon

　　/tmp/xmr

　　/usr/.work/work32

　　/usr/.work/work64

　　/bin/bash /tmp/secure.sh

　　/bin/bash /tmp/auth.sh

我按照如上文件路径检测，果然发现大量异常文件，文件大小均为：535.77kb

另外可以发现这部分文件权限明显迥然与该目录下其他文件权限，为755权限。

随着摸索的深入，我发现只能用土方法：对比正常的宝塔任务管理器线程、服务、启动项来对中马服务器进行修复。

我想是以为服务器以前安装的是宝塔开心版，后来才升级成了正版，应该是使用破解版本的时候被人拿了后台，安装了自启动的挖矿脚本。