甲骨文 AMD 服务器 CPU 100% 故障排查与病毒根除手册

本手册专门针对甲骨文(Oracle Cloud)免费 AMD 实例(Ubuntu 24.04 系统)突然失联、CPU 爆满的故障进行总结,并提供两种最有效的应对方案及根除病毒的标准流程。

📋 故障表象与病因

  • 故障表象:搭建的 VPS 突然中断,网页代理失效;FinalShell 无法登陆,提示连接超时;后台查看 CPU 占用率长期处于 100%
  • 幕后真凶:服务器遭遇了 xmrig(门罗币恶意挖矿程序) 木马入侵。黑客通过恶意脚本或系统漏洞将其注册成了 Linux 系统服务(Systemd Service),在后台疯狂榨干 CPU 算力。

⚡ 核心应对方案

当机器彻底失联、CPU 100% 时,根据实际情况选择以下两种处置方法:

🛠️ 方法一:釜底抽薪,彻底重建(最省心、最干净)

如果不想花时间与黑客程序肉搏,或者系统环境已被严重污染,直接采取物理重建:

  1. 登录甲骨文网页后台,找到该实例,点击终止(Terminate)。
  2. 务必勾选“删除关联的引导卷(Permanently delete the attached boot volume)”,彻底拔除毒瘤。
  3. 重新建立全新的纯净实例,只安装安全、轻量的代理工具。
  4. 铁律:坚决不要再安装任何第三方或来路不明的监控平台/探针!

🛠️ 方法二:抓准时机,断根抢救(保留原系统)

由于黑客服务拉起病毒需要时间,在系统刚刚重启后的若干分钟内,存在一个短暂的“黄金窗口期”,此时 FinalShell 可以成功登陆。

抢救和断根的标准化命令流程如下:

1. 露头就打:强杀表面进程

成功连入 FinalShell 并切换到 root 权限(sudo -i)后,立刻输入 top 查看。如果第一行看到 xmrig 正在疯狂吃资源(假设此时它的进程号 PID 是 3705),不要惊慌,立刻按下 q 退出 top,并执行精准强杀

Bash

# 注意:killall 后面接的是进程名字,kill 后面接的是 PID 数字
kill -9 3705

(或者使用 killall -9 xmrig 强杀所有同名进程)

2. 揪出内鬼:斩断借尸还魂的后台服务

强杀进程后,病毒服务会在极短时间内重新拉起新进程。必须立刻输入以下命令,揪出隐藏在后台的系统服务名称:

Bash

systemctl list-units --type=service | grep -E "xmrig|nezha|miner|crypto|c3pool"

常见恶意服务名c3pool_miner.service

3. 乱棍打死:四枪彻底注销病毒服务

抓到具体的恶意服务名后(以 c3pool_miner.service 为例),直接复制并运行以下四行命令,彻底开除出系统:

Bash

# 1. 强行停止这个在后台蠢蠢欲动的挖矿服务
systemctl stop c3pool_miner.service

# 2. 彻底禁用它,抹除它的开机自启登记
systemctl disable c3pool_miner.service

# 3. 彻底删除系统目录下的恶意服务配置文件
rm -rf /etc/systemd/system/c3pool_miner.service

# 4. 刷新系统服务列表,让更改立即生效
systemctl daemon-reload

4. 斩草除根:清理残留并物理超度

将木马在临时目录里落脚的源文件彻底抹除,然后重启系统净化内存:

Bash

# 1. 清理临时目录和全盘下的所有挖矿残留文件
rm -rf /tmp/xmrig* /var/tmp/xmrig*
find / -name "xmrig" -exec rm -rf {} \;

# 2. 彻底重启服务器
reboot

重启 1 分钟后重新连入系统,运行 top 检查,CPU 即可完美回归 1% 的完美养老状态!

🔒 铁闸筑防:低配 VPS 养老安全守则

甲骨文 AMD 实例只有 1G 内存,为了长治久安,抢救成功或新建实例后,必须立刻打好以下两剂“预防针”:

1. 必须彻底阉割系统自动升级

防止系统半夜偷偷下载、编译内核导致弱鸡 CPU 直接锁死或引发系统环境错乱:

Bash

systemctl stop apt-daily.timer apt-daily-upgrade.timer unattended-upgrades
systemctl disable apt-daily.timer apt-daily-upgrade.timer unattended-upgrades
apt-get remove -y unattended-upgrades

2. 必须锁死网络与开启 BBR 加速

保障在甲骨文后台改动、刷新网络策略时,机器能死死弯住 IP 不断连,同时大幅提升网络速度:

Bash

# 锁死网络守护
systemctl enable systemd-networkd systemd-resolved

# 开启 BBR 加速
cat >> /etc/sysctl.conf << EOF
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
sysctl -p

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注