摘要：本文记录了一次Ubuntu服务器挖矿病毒应急处置过程。通过分析异常进程定位到挖矿程序路径(/tmp/kworkerds)，发现其外联IP(flag{192.168.1.1:3333})。调查发现/etc/cron.d/0guardian守护进程，溯源发现钓鱼网站下载的恶意程序感染了系统关键文件(whoai/ls/top等)。通过安装/deb_final目录下的原始deb包恢复系统，最终清除挖