阅读量:1
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100
一、发现xmrig
1.通过top发现xmrig占用了大量cpu,xmrig比较隐蔽,没有对所有的cpu核心消耗完,我这台两核仅消耗一半
2.通过网上搜索发现是挖矿木马
3.尝试直接kill发现杀死之后又会自动重启
二、找出xmrig程序文件位置,并将其目录删除
top查看进程id,杀死进程
通过find命令找出xmrig文件
find / -name xmrig
发现该病毒文件比较设置较隐蔽,为./xmrig格式隐藏文件,删掉这个目录文件,同时验证负载情况
rm -rf /var/tmp/.xmrig
三、其他问题(转载其他博客)
https://blog.csdn.net/aiaidexiaji/article/details/131663833
1.定时任务crontab
通过 crontab -l 发现没有定时任务,但是会重新启动
cd /etc/ 查看crontab文件发现有隐藏的定时任务
通过rm删除文件时 rm -rf /etc/crontab ,没有权限
1 chattr -ia /etc/crontab2 rm -rf /etc/crontab
删除后在./etc目录下多看几个crontab文件,发现病毒备份了多个定时任务,只要不是自己的定时任务 直接删文件就好了
2.定时任务2
1.删除定时任务 rm -rf /var/spool/cron
2.删除ssh认证信息 rm -rf ./ssh/
.尽量使用内网链接,不要暴露端口号或者外网地址
3.禁用root远程登录
禁用 root 远程登录的方法(用其它用户su过去):
sudo vi /etc/ssh/sshd_config
关闭 root 远程登录
PermitRootLogin no
重启 ssh 服务
sudo service ssh restart