你已经做了不少关键的清理和加固操作：删掉了挖矿程序的目录、移除了相关的systemd服务、关闭了SSH密码登录，这些都是很好的第一步，但挖矿木马往往会留下隐藏的后门或残留，为了彻底确保系统安全，还可以做这些事：

• 全面排查恶意残留

  • 持续用ps aux或top监控进程，留意陌生的、占用CPU/内存异常的程序，尤其是那些名字模仿系统进程的伪装程序
  • 检查定时任务：执行crontab -l查看当前用户的定时任务，再去/etc/cron.d/、/etc/cron.hourly/、/etc/cron.daily/这些系统级定时目录里排查，挖矿程序常通过定时任务实现自启动
  • 扫描临时目录：/tmp、/var/tmp是恶意程序喜欢藏身的地方，用ls -la查看里面的文件，删掉陌生的可执行文件
  • 检查SUID/SGID权限文件：执行find / -type f -perm -u+s 2>/dev/null，找那些不该有提权权限的可疑文件，木马可能通过这个获取更高权限

• 验证系统核心文件完整性

  • 如果是Debian/Ubuntu系统，安装debsums工具后执行debsums -c，检查系统包的文件是否被篡改；CentOS/RHEL系统用rpm -V，对比原始包的文件哈希，重点关注sshd、bash、systemd这类核心程序有没有被替换
  • 打开/etc/passwd和/etc/shadow，检查有没有新增的可疑用户，尤其是拥有sudo权限的账号

• 排查网络后门

  • 用netstat -tulpn或ss -tulpn查看所有监听端口和活跃连接，找陌生的IP地址或不常用的端口，挖矿程序通常会连接矿池服务器
  • 检查/etc/hosts、/etc/resolv.conf这些网络配置文件，看有没有被篡改指向恶意服务器

• 处理CyberPanel的安全风险

  • 既然你怀疑恶意程序来自CyberPanel，先检查它的安装目录和配置文件，看看有没有被注入恶意代码，比如面板的脚本、第三方插件
  • 如果对CyberPanel的安全性没信心，建议备份好数据后卸载它，换成更可控的Django部署方式（比如Nginx+Gunicorn），第三方面板本身就是不小的攻击面

• 强化系统安全配置

  • 你已经禁用了SSH密码登录，再优化下sshd_config：设置PermitRootLogin no禁止root直接登录，用AllowUsers 你的用户名限制可登录的用户，还可以修改默认SSH端口（可选，能减少大部分暴力扫描）
  • 启用防火墙：比如Debian/Ubuntu用ufw allow ssh、ufw allow 80、ufw allow 443然后ufw enable；CentOS/RHEL用firewalld开放必要端口，关闭所有无关端口

• 最彻底的方案：系统重建

  • 如果以上排查都让你没底，最安全的方式就是重装系统：先备份好Django项目代码、数据库数据这些关键内容，然后安装干净的系统，再重新部署服务，不要复用旧系统的任何配置文件，彻底断绝残留后门的可能

备注：内容来源于stack exchange，提问作者Vellutante