近日，收到同事反馈服务器进程异常，检查发现，服务器感染了挖矿病毒，下面就处理过程做个记录。

1. top检查资源占用异常进程

root@Server:~# top

通过top命令可以发现资源占用异常的进程。这时候使用kill或者pkill是无法终结进程的，这时候我们记录一下异常进程的进程号。

2. 删除病毒文件

root@Server:~# cd /proc/进程号
进入挖矿进程目录，然后ls -al或者ll找到进程所在文件夹。然后删除文件rm -rf /xxx/xxx

3. 检查服务器上的crontab

分别检查服务器上的定时计划，/etc/crontab以及/var/spool/cron/crontabs，看看是否有异常的计划，尤其是一些隐藏文件夹的定时计划，尤其注意。

4. 检查服务器上的sudo权限表

看看sudo权限表上面的权限，缩减sudo权限控制范围，遵守非必要不授权的原则，取消不必要的授权范围。

5. 检查passwd表

检查/etc/passwd表，有无未知账户，有无不再使用账户。通过last命令可以检查最近登录记录。

6. 检查sudo权限账户

排查具备sudo账户的用户，是否有弱密码，最好要求所有sudo权限用户改密码。

完成以上步骤后，可以对服务器进行重启操作，清理无法终结的进程。