服务器被植入挖矿程序,重装系统能解决吗?
重装系统能不能解决挖矿程序?先说结论
能,但仅靠重装不够。 重装系统会格式化系统盘,清除当前运行的所有恶意进程和植入文件,让CPU/内存占用马上恢复正常。
但如果你不修补原来的弱口令、不关掉无用端口、不扫描挂载的数据盘,挖矿病毒会在几分钟内再次从网络攻进来。
什么情况下应该选择重装系统
遇到以下场景时,重装系统是最省事的方案:
- CPU 持续 100%,htop 或 top 不认识的可疑进程。
- 自己删了病毒进程,几秒后又自动出现。
- 系统文件被篡改,连 ps、netstat 都被替换成木马版本。
- 服务器里跑了大量定时任务(/etc/crontab 或用户 crontab)全是陌生地址。
如果不满足以上条件,也可以先用杀毒脚本(如 ClamAV、河马)尝试清理,但对零基础用户来说,重装系统比手动查杀更彻底、更安全。
重装前的准备(这一步不能省)
- 备份重要数据
只用能确认没有感染的数据。
如果你怀疑整台机器都被控了,用 Live CD(系统救援盘)启动后挂载数据盘,拷贝配置文件、数据库导出文件。不要直接在原系统下直接复制,因为病毒可能正在监听 / 篡改文件。
- 记录当前网络配置
用命令 ip addr 和 route -n 记下 IP、网关、DNS。
重装后需要重新设置。
- 检查是否感染了引导扇区或固件
极少数挖矿木马会写 MBR(主引导记录)或 UEFI 引导区。
重装系统时选择全盘格式化并重建分区表,避免木马藏在引导区里复活。
- 确保你有干净的系统镜像
从官方渠道下载,不要在中毒服务器上用 wget/curl 下载,可能被劫持。
重装系统的实操步骤(以宝塔面板为例)
如果你用宝塔面板管理服务器,可以在控制台直接一键重装:
- 登录宝塔官网 → 进入服务器管理列表 → 点击系统重装。
- 选择你要装的系统版本(推荐 CentOS 7 或 Ubuntu 22.04 LTS)。
- 勾选“全格”(全盘格式化),这是关键,不能只重写系统分区。
- 输入当前管理员密码确认,等待 10-20 分钟。
如果不走面板,纯手动重装:
- 用官方 ISO 制作 U 盘或挂载虚拟光驱。
- 安装时手动创建分区,删除原有所有分区,新建
/boot、/、swap。 - 安装完成后不要立刻连接互联网,先做下面的安全加固。
重装后立刻做的安全加固(防止二次中招)
- 修改 SSH 端口和密码
编辑 /etc/ssh/sshd_config,把 Port 22 改成高位端口如 Port 23333。
重启 sshd 服务。
- 关闭无用端口
新装系统默认只开了 22 端口。
如果你不需要某些服务,用 firewall-cmd 或 ufw 禁止外部访问。
- 更新系统并安装安全工具
- CentOS:
yum update -y && yum install epel-release clamav -y - Ubuntu:
apt update && apt upgrade -y && apt install clamav ufw -y
- 安装主动防御软件
推荐 Fail2ban,防暴力破解读取;
或 CrowdSec(社区版免费)。
配置方式可参考我的另一篇文章。
- 禁用 root 直接登录
在 sshd_config 里加一行:PermitRootLogin no,然后新建一个普通用户 sudo 权限。
如何验证挖矿程序已被彻底清除
- 查看 CPU 占用:
top -c,空闲时应在 1% 以下。 - 检查网络连接:
netstat -antp | grep ESTABLISHED,不应有陌生境外 IP。 - 查看登录日志:
lastb或journalctl -u sshd,没有可疑的大量失败尝试。 - 扫描挂载的数据盘:
clamscan -r --infected /mnt/data如果报毒,说明数据盘被传染,需要仔细清理或删除。
避坑指南与高频问题
Q:重装系统后,原来被挖矿的网站数据还能用吗?
网站代码、数据库文件可能已被植入恶意代码(比如在 JS 文件里插挖矿脚本)。请务必用杀毒软件扫描一遍再恢复上线。
Q:为什么重装完不到一小时又被挖矿了?
常见原因:没有改 SSH 旧密码 / 旧端口;数据盘挂载后自动执行了里面的恶意脚本;网络侧被扫描到仍用默认配置。
Q:不想重装系统怎么办?
零基础用户不建议手动查杀,非常容易遗漏。如果实在不想重装,可以尝试用在线扫描工具(如 VirusTotal)分析可疑进程文件,但成功率不高。
总结
重装系统是断尾求生的有效手段,但重装只是开始,安全加固才是关键。
如果你正在处理服务器被植入挖矿程序的问题,先按上面的准备步骤备份好数据,然后彻底格式化重装,再对照安全加固清单逐一操作。
只要养成定期更新、关闭无用端口、使用密钥登录的习惯,挖矿病毒很难再找上门。
