Linux 系统挖矿病毒清除与安全加固指南

摘要：本笔记详细记录了如何排查和清除 Linux 系统中的挖矿病毒（如 kdevtmpfsi 和 kinsing），并提供了系统安全加固建议，包括删除可疑进程、用户及定时任务的处理方法。

1. 挖矿病毒识别与清除

1.1 识别挖矿病毒

      通过 `ps aux | grep kdevtmpfsi` 和 `ls -l /proc//exe` 命令确认 `/tmp/kdevtmpfsi*` 是典型的挖矿病毒程序。

1.2 终止进程

kill -9 

1.3 删除文件

rm -f /tmp/kdevtmpfsi*

1.4 清除定时任务

sudo -u postgres crontab -r

2. 用户与权限管理

2.1 删除用户

userdel -r postgres

2.2 检查异常用户

cat /etc/passwd

3. 安全加固措施

3.1 限制 /tmp 权限

mount /tmp -o remount,noexec,nosuid

3.2 更新系统

apt update && apt upgrade -y

3.3 安装杀毒工具

apt install clamav rkhunter chkrootkit -y

4. 其他注意事项

4.1 MTA-STS 用户

      `_mta-sts` 是合法的邮件安全服务，无需担心。

4.2 定时任务检查

crontab -l

5. 总结操作清单

• 终止挖矿进程
• 删除病毒文件
• 清除定时任务
• 限制 /tmp 执行权限
• 更新系统软件包
• 安装杀毒工具