### 清除 Redis 挖矿病毒完整操作指南**立即切断网络连接**bashsystemctl stop network# 或ifdown eth0**终止恶意进程**bashkill -9 40358ps aux | grep -E redis-server|/var/opt | grep -v greppkill -f /var/opt/\.pkill -f redis-server.*2589248**删除病毒文件**bashrm -rf /var/opt/.\ /var/opt/.\ 2/dev/nullcd /var/optls -lifind . -inum 123456 -exec rm -rf {} \;**清除持久化启动项****检查 crontab**bashcrontab -l -u rootfor user in $(cut -f1 -d: /etc/passwd); do echo $user ; crontab -u $user -l 2/dev/null; donecrontab -r -u root**检查 systemd 服务**bashsystemctl list-unit-files | grep -E redis|var|opt|http|mine|xmr|stratumls -lt /etc/systemd/system/ | head -20systemctl stop 可疑服务名systemctl disable 可疑服务名**检查其他启动位置**bashcat /etc/rc.d/rc.localls -lt /etc/init.d/grep -r redis-server /etc/profile /etc/bashrc /root/.bashrc**检查 SSH 后门**bashcat /root/.ssh/authorized_keys /root/.ssh/authorized_keys**Rootkit 检测**bashyum install -y epel-release yum install -y rkhunterrkhunter --check --sk---### 病毒特征说明1. 创建隐藏目录 /var/opt/. 2. 修改 crontab 添加 reboot 启动项3. 进程伪装为 redis-server 但 VSZ 异常约 25892484. 可能植入 SSH 公钥实现持久化### 后续防护建议- 修改 Redis 默认端口- 启用 Redis 密码认证- 配置防火墙限制 Redis 端口访问- 定期检查系统异常进程和网络连接