本手册专门针对甲骨文(Oracle Cloud)免费 AMD 实例(Ubuntu 24.04 系统)突然失联、CPU 爆满的故障进行总结,并提供两种最有效的应对方案及根除病毒的标准流程。
📋 故障表象与病因
- 故障表象:搭建的 VPS 突然中断,网页代理失效;FinalShell 无法登陆,提示连接超时;后台查看 CPU 占用率长期处于 100%。
- 幕后真凶:服务器遭遇了
xmrig(门罗币恶意挖矿程序) 木马入侵。黑客通过恶意脚本或系统漏洞将其注册成了 Linux 系统服务(Systemd Service),在后台疯狂榨干 CPU 算力。
⚡ 核心应对方案
当机器彻底失联、CPU 100% 时,根据实际情况选择以下两种处置方法:
🛠️ 方法一:釜底抽薪,彻底重建(最省心、最干净)
如果不想花时间与黑客程序肉搏,或者系统环境已被严重污染,直接采取物理重建:
- 登录甲骨文网页后台,找到该实例,点击终止(Terminate)。
- 务必勾选“删除关联的引导卷(Permanently delete the attached boot volume)”,彻底拔除毒瘤。
- 重新建立全新的纯净实例,只安装安全、轻量的代理工具。
- 铁律:坚决不要再安装任何第三方或来路不明的监控平台/探针!
🛠️ 方法二:抓准时机,断根抢救(保留原系统)
由于黑客服务拉起病毒需要时间,在系统刚刚重启后的若干分钟内,存在一个短暂的“黄金窗口期”,此时 FinalShell 可以成功登陆。
抢救和断根的标准化命令流程如下:
1. 露头就打:强杀表面进程
成功连入 FinalShell 并切换到 root 权限(sudo -i)后,立刻输入 top 查看。如果第一行看到 xmrig 正在疯狂吃资源(假设此时它的进程号 PID 是 3705),不要惊慌,立刻按下 q 退出 top,并执行精准强杀:
Bash
# 注意:killall 后面接的是进程名字,kill 后面接的是 PID 数字
kill -9 3705
(或者使用 killall -9 xmrig 强杀所有同名进程)
2. 揪出内鬼:斩断借尸还魂的后台服务
强杀进程后,病毒服务会在极短时间内重新拉起新进程。必须立刻输入以下命令,揪出隐藏在后台的系统服务名称:
Bash
systemctl list-units --type=service | grep -E "xmrig|nezha|miner|crypto|c3pool"
常见恶意服务名:
c3pool_miner.service
3. 乱棍打死:四枪彻底注销病毒服务
抓到具体的恶意服务名后(以 c3pool_miner.service 为例),直接复制并运行以下四行命令,彻底开除出系统:
Bash
# 1. 强行停止这个在后台蠢蠢欲动的挖矿服务
systemctl stop c3pool_miner.service
# 2. 彻底禁用它,抹除它的开机自启登记
systemctl disable c3pool_miner.service
# 3. 彻底删除系统目录下的恶意服务配置文件
rm -rf /etc/systemd/system/c3pool_miner.service
# 4. 刷新系统服务列表,让更改立即生效
systemctl daemon-reload
4. 斩草除根:清理残留并物理超度
将木马在临时目录里落脚的源文件彻底抹除,然后重启系统净化内存:
Bash
# 1. 清理临时目录和全盘下的所有挖矿残留文件
rm -rf /tmp/xmrig* /var/tmp/xmrig*
find / -name "xmrig" -exec rm -rf {} \;
# 2. 彻底重启服务器
reboot
重启 1 分钟后重新连入系统,运行 top 检查,CPU 即可完美回归 1% 的完美养老状态!
🔒 铁闸筑防:低配 VPS 养老安全守则
甲骨文 AMD 实例只有 1G 内存,为了长治久安,抢救成功或新建实例后,必须立刻打好以下两剂“预防针”:
1. 必须彻底阉割系统自动升级
防止系统半夜偷偷下载、编译内核导致弱鸡 CPU 直接锁死或引发系统环境错乱:
Bash
systemctl stop apt-daily.timer apt-daily-upgrade.timer unattended-upgrades
systemctl disable apt-daily.timer apt-daily-upgrade.timer unattended-upgrades
apt-get remove -y unattended-upgrades
2. 必须锁死网络与开启 BBR 加速
保障在甲骨文后台改动、刷新网络策略时,机器能死死弯住 IP 不断连,同时大幅提升网络速度:
Bash
# 锁死网络守护
systemctl enable systemd-networkd systemd-resolved
# 开启 BBR 加速
cat >> /etc/sysctl.conf << EOF
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
sysctl -p
发表回复