一、 应急隔离与初步处理

找到感染后先说说应断开服务器与外部网络的连接，避免病毒扩散至内网其他设备。若服务器承载核心业务，可先通过虚拟机迅速照恢复至感染前的正常状态，或临时切换至备用服务器保持业务运行。对于无法中断的服务器， 需通过命令行工具有力制终止可疑进程：在 Linux 系统中用 “top” 命令定位高大占用进程，用 “kill -9 进程 ID” 终止；Windows 系统则通过 “任务管理器” 收尾异常进程，并记录进程路径以便后续清除。

二、病毒文件定位与删除

挖矿病毒的核心特征是对计算材料的疯狂占用。通过服务器监控工具可找到异常：CPU 利用率长远期保持在 90% 以上， 即使无业务负载也居高大不下；系统进程中出现陌生的高大占用进程，名称常成 “system”“svchost” 等系统进程；磁盘中存在可疑可施行文件，且修改时候与异常占用开头时候吻合。

1. 用 “top” 命令定位高大占用进程。
2. 用 “kill -9 进程 ID” 终止进程。
3. 用 “ls -l /proc/{病毒PID}/exe” 查看病毒路径。
4. 进入病毒文件所在目录，删除病毒文件。

三、 病毒启动项清除

挖矿病毒为了持续运行，会在系统启动时添加启动项。

1. 检查 /etc/rc.d 目录下的脚本文件，删除病毒添加的启动项。
2. 检查 crontab 定时任务，删除病毒添加的定时任务。
3. 检查系统服务列表，卸载成系统服务的恶意程序。

在 Windows 系统中， 能进入注册表编辑器，删除病毒添加的启动项。

四、 防火墙规则设置

为了别让病毒通过网络连接进行传播，能设置防火墙规则，阻断服务器与可疑地址之间的全部网络连接。

1. 将以下命令中 c2 地址替换为正常业务不会用的可疑远程地址。
2. 施行以下命令添加防火墙规则：

    iptables -A INPUT -s  -j DROP
    iptables -A OUTPUT -d  -j DROP
    
    

五、 系统恢复与加固

清除病毒后觉得能对系统进行恢复和加固，以别让病毒 感染。

1. 备份关键数据。
2. 更新鲜操作系统和柔软件到最新鲜版本。
3. 设置有力密码并定期更换。
4. 启用防火墙和杀毒柔软件。
5. 定期进行平安检查。

服务器中的挖矿病毒清除需要综合考虑优良几个方面包括应急隔离、病毒文件定位与删除、病毒启动项清除、防火墙规则设置、系统恢复与加固等。只有采取全面的措施，才能确保服务器平安稳稳当当运行。

---