跳转到内容
志博客

3x-ui服务器被木马入侵,被当作挖矿服务器

3x-ui项目地址:https://github.com/MHSanaei/3x-ui 基于x-ui后续魔改版本,和其余的x-ui魔改项目类似的是后续也更新了内核,并且支持了新的协议,支持多用户。不过3x-ui后续更新的实用功能是可以对xray核心进行修改,这点后续会讲。3x-ui在美观程度和动画流畅程度上和其余的搭建代理面板拉开了一个维度。

3x-ui--10001.jpg

因为前一段时间爆出了3x-ui的高危漏洞,那个时候,有很多的服务器都被入侵了,我的这个服务器是被入侵并且安装了挖矿服务,首先使用终端软件,finalshell,在登录3x-ui的时候,会看到有cpu的占用情况,我就发现cpu的占用情况一直是100%

3x-ui--10001.jpg

然后,我就用命令行的top命令,查看进程的情况!发现有一个进程,cpu占用高达96.4%,而这个进程的名称是system,一般debian服务器,系统进程的名字是 systemd,所以就引起了我的怀疑!

3x-ui--10001.jpg

于是我就带着问题,去咨询chatgpt

3x-ui--10001.jpg

VPS 商家最 低 价特 点支 付 方 式
BWG版瓦工$49.99/年速度最快、最稳定微信、支付宝、PayPal、信用卡
DMIT$36.9/年CN2 GIA线路、香港 CMI 线路支付宝、PayPal、信用卡
hostdare$16/年大流量、速度快 CMI 线路支付宝、PayPal、信用卡
BuyVM¥18大硬盘、无限流量、流媒体解锁支付宝、PayPal、信用卡、数字货币
RackNerd$8.89/年便宜、大流量、高配置支付宝、PayPal、信用卡、数字货币
CloudCone$13.99/月便宜、大流量、大硬盘支付宝、PayPal、信用卡
Vultr$5/月全球几十机房任选,注册送 $100支付宝、PayPal、数字货币

这个是chatgpt给出的一个大概的处理流程

你这个进程信息里:

PID: 511620
USER: root
CPU: 96.7%
TIME+: 7d+9h
COMMAND: system

有几点需要注意:

  1. 进程名 system 并不是正常的 Linux 系统守护进程名

    • Linux 系统核心进程一般是 systemd(不是 system),所以这个名字很可疑。
    • 很多挖矿木马、恶意脚本会用 systemkworkerbash 这样的名字伪装。

  2. 运行了 7 天 9 小时,高 CPU 占用

    • 长时间高占用,很可能是恶意挖矿进程或者某个死循环任务。

  3. 用户是 root

    • 如果是恶意程序,说明它可能通过某种方式获得了 root 权限,危害更大。

先确认它是什么

运行:

Terminal window
ps -fp 511620

看完整路径和启动命令。

再用:

Terminal window
ls -l /proc/511620/exe

看它的可执行文件在哪个路径。

如果想查它的网络连接:

Terminal window
netstat -pantu | grep 511620

或:

Terminal window
ss -pantu | grep 511620

如果确认是恶意进程

  1. 立即结束它
Terminal window
kill -9 511620
  1. 删除它的文件 如果 /proc/511620/exe 指向的文件路径还存在,删除:
Terminal window
rm -f /路径/文件名
  1. 清理启动项 查一下定时任务和自启动:
Terminal window
crontab -l
ls /etc/cron* -R
cat /etc/rc.local
systemctl list-unit-files | grep enabled
  1. 检查可疑用户
Terminal window
cat /etc/passwd | grep -v '/nologin'

防止再次中招

  • 更新系统:
Terminal window
apt update && apt upgrade -y
  • 更改 root 密码:
Terminal window
passwd
  • 禁用 root 远程 SSH 登录(编辑 /etc/ssh/sshd_config,设置 PermitRootLogin no,然后 systemctl restart ssh)。
  • 安装 fail2ban 或其他防爆破工具。

我怀疑你这个 system 进程是个 挖矿木马,如果你愿意,我可以帮你写一个 一键检测并清理恶意挖矿进程的脚本,直接在 Debian 11 上跑就能扫出来并杀掉。 你要我帮你写吗?这样可以彻底解决 CPU 占用问题。

我根据chatgpt给我的提示,找到了挖矿木马,是一个门罗币挖矿程序,伪装成了系统进程

3x-ui--10001.jpg

以下是chatgpt给我的提示,目的是结束木马进程,删除文件,删除启动项

我看你贴出来的完整启动命令,已经确认这是门罗币(XMR)挖矿木马

证据

  • ./Download/system 说明这个程序放在你服务器的 Download 目录下,用了伪装名字 system
  • -o pool.hashvault.pro:443 hashvault.pro 是一个门罗币矿池的域名。
  • -u 8AMoGmzK... 这是攻击者的钱包地址,你的服务器正在帮别人挖矿。
  • -k --tls 这是 xmrig 挖矿程序常用参数(TLS加密传输)。

现在要做的事

1. 立刻杀掉进程

Terminal window
kill -9 511620

2. 删除挖矿程序

Terminal window
rm -f /root/Download/system

如果不确定目录:

Terminal window
ls -l /root/Download

3. 查找同类文件(防止它在别的地方留了备份)

Terminal window
find / -type f -name "system" -o -name "xmrig" 2>/dev/null

4. 查启动项(防止重启后又运行)

Terminal window
crontab -l
ls -l /etc/cron* /var/spool/cron* 2>/dev/null
grep -r "Download/system" /etc/ 2>/dev/null

5. 查可疑服务

Terminal window
systemctl list-units --type=service | grep system

6. 更新密码,防止再次入侵

Terminal window
passwd

同时建议禁用 root 远程 SSH 登录,编辑:

Terminal window
nano /etc/ssh/sshd_config

修改:

PermitRootLogin no

保存后:

Terminal window
systemctl restart ssh

木马隐藏的非常深

看你贴出来的 /etc/cron.* 内容,没有直接看到木马用的定时任务文件,说明它可能是放在用户自己的 crontabsystemd 启动项里,而不是 /etc/cron.d 这些目录。

现在建议你继续这样排查:

1. 查看 root 用户的 crontab

Terminal window
crontab -l -u root

如果里面有执行 Download/systemxmrig 的命令,全部删除。 编辑:

Terminal window
crontab -e -u root

2. 搜索所有定时任务文件中是否有挖矿命令

Terminal window
grep -r "Download/system" /etc/cron* /var/spool/cron* 2>/dev/null

3. 检查 systemd 自启动服务

很多挖矿程序会伪装成 system-update.servicenetwork.service 之类:

Terminal window
systemctl list-unit-files --type=service | grep enabled
systemctl status system
systemctl status system-update

如果发现有指向 Download/system 或陌生目录的,直接禁用并删除:

Terminal window
systemctl disable --now 服务名
rm -f /etc/systemd/system/服务名
systemctl daemon-reload

4. 检查 rc.local 和开机脚本

Terminal window
cat /etc/rc.local
ls -l /etc/init.d/
grep -r "Download/system" /etc/init.d/

5. 防止再次入侵

  • 改密码passwd
  • 禁止 root SSH 登录(编辑 /etc/ssh/sshd_configPermitRootLogin no
  • 仅允许密钥登录PasswordAuthentication no
  • 安装 Fail2ban 进行 SSH 防爆破保护:
Terminal window
apt install fail2ban -y

如果你愿意,我可以帮你直接写一个 Debian 11 挖矿木马自动清理脚本,一次性完成:

  1. 杀掉进程
  2. 删除挖矿文件
  3. 清理 crontab、systemd 启动项、rc.local
  4. 修改 SSH 安全配置

这样不用你一步步手动查,而且能防止重启后木马再跑起来。

你是想让我现在帮你写这个一键清理脚本吗?这样 CPU 占用会立刻恢复正常。

最后再删除,守护进程,管理任务,修改管理员密码,重启服务器

你这个 crontab 第一行就是木马的定时任务pgrep -x ibus || exec /root/.cache/ibus/ibus &

意思是:

  • 每分钟检查一次是否有名为 ibus 的进程
  • 如果没有,就运行 /root/.cache/ibus/ibus 这个程序(其实是挖矿木马,伪装成输入法 ibus)
  • 这样即使你杀掉进程,它一分钟后又会重启

第二行的 ~/.acme.sh/acme.sh --cron 是正常的证书续签任务,不是木马。

清理方法

  1. 删除木马定时任务
Terminal window
crontab -e -u root

删除这行:

Terminal window
* * * * * pgrep -x ibus || exec /root/.cache/ibus/ibus &

保存退出。

  1. 杀掉正在运行的木马进程
Terminal window
pkill -f "/root/.cache/ibus/ibus"
  1. 删除木马文件
Terminal window
rm -rf /root/.cache/ibus
  1. 检查 systemd 是否有木马自启
Terminal window
systemctl list-unit-files --type=service | grep ibus
systemctl status ibus

如果发现异常的 ibus 服务:

Terminal window
systemctl disable --now ibus
rm -f /etc/systemd/system/ibus.service
systemctl daemon-reload