最近，在维护阿里云上的一台服务器时，我发现系统负载异常高，远远超过了正常运行的范围。通过top命令查看，我发现一个名为Shib的进程一直占用了百分之300多CPU 资源。由于常在币圈混的我就觉得这个进程名称非常特别进入了查杀状态

这篇文章将分享我如何发现这个恶意进程，并一步步解决问题，最终加强服务器安全以防止类似情况的再次发生。

1. 初步发现异常

检查它的启动命令时，我发现它连接到了一个外部的挖矿服务器。

ps aux | grep Shib

进程信息显示：

root 29806 363 0.2 93520 20452 ? Sl Nov05 43453:14 ./Shib -a gr -o stratum+ssl://1123.某挖矿地址:443 -u SHIB:0x031e5116606050737eec2df246a0d99e6e57e6bb.kk#igf7-a271 -p x

通过对该进程的命令行分析，我意识到它正与一个远程挖矿服务器（1123.某挖矿地址:443）建立连接，利用服务器资源进行加密货币挖矿，显然这是一种恶意软件。

2. 暂时性解决方案：防止黑客连接

在明确了服务器被感染之后，我的首要任务是防止黑客通过该进程进一步控制服务器。由于服务器的 SSH 服务是通过密码验证的，我担心在处理过程中黑客可能会再次利用密码登录到服务器。为了避免这一风险，我立刻采取了以下措施：

通过阿里云的安全组功能，临时开启了 IP 白名单，确保只有我信任的 IP 地址可以访问服务器。这一步骤可以有效防止黑客继续进行远程连接。

3. 查杀恶意进程并清理文件

接下来，我开始着手清除Shib恶意进程及其相关文件。首先，我用kill命令强制停止了该进程：

kill -9 29806

然后，通过find命令在整个系统中查找该进程的可执行文件：

find / -name "Shib" 2>/dev/null

找到文件路径后，我将其删除：

rm -f /root/Shib

此外，我还检查了是否存在与此恶意软件相关的定时任务或启动项。通过查看crontab和/etc/init.d/等位置，我确保系统中没有被设置为自启动的恶意程序。

4. 更改 SSH 登录方式

在排查过程中，我意识到继续使用密码登录存在较大的安全隐患。为此，我决定关闭密码登录，改用密钥登录 SSH。

首先，编辑 SSH 配置文件/etc/ssh/sshd_config，禁用 root 密码登录并强制使用密钥认证：

PermitRootLogin without-password

PasswordAuthentication no

大家有什么更靠谱的想法也可以留言大家相互学习