新用戶專屬折扣:云服務(wù)器新購6折,獨(dú)立服務(wù)器新購8折,查看活動詳情>>>
近期遇到很多客戶咨詢服務(wù)器CPU被占滿,排查后發(fā)現(xiàn)中了xmrig挖礦病毒,并且通過kill 殺掉進(jìn)程后,還會自動啟動。這是由于只是停止了xmrig挖礦病毒的進(jìn),沒有徹底刪除病毒文件,導(dǎo)致會病毒會自動重啟進(jìn)程。
所以這里就教各位如何找到對應(yīng)的xmrig挖礦病毒文件地址,并徹底進(jìn)行刪除。
第一步:SSH連接服務(wù)器
如果SSH都不會連接的話,可以看一下教程:https://www.lanmicloud.com/doc/372.html
第二步:查看xmrig病毒文件的進(jìn)程
執(zhí)行top,就可以看到當(dāng)前服務(wù)器下的所有進(jìn)程,很明顯就能看到第一個進(jìn)程號為22220,名稱為xmrig的進(jìn)程,跑滿了服務(wù)器CPU,記住這個進(jìn)程號。
第三步:找到xmrig病毒的文件地址
執(zhí)行下面的命令,稍等一會兒,就可以檢索到病毒文件的地址
find / -name xmrig
從上圖可以看到,這臺服務(wù)器的xmrig病毒文件地址為 /root/moneroocean/xmrig,我們直接進(jìn)這個文件地址刪除掉就可以了。
第四步:執(zhí)行命令刪除文件命令
(記得將下面命令中的文件地址,替換為你自己檢索出來的病毒文件地址)
rm -rf /root/moneroocean
注意:我這里是刪除的整個moneroocean文件夾及下面的所有文件,一般情況下這下面都是病毒文件,如果你不放心的話,可以先執(zhí)行l(wèi)s /root/moneroocean看一下這個文件夾下面有哪些文件。
第五步:停止xmrig病毒文件進(jìn)程
執(zhí)行kill+進(jìn)程號,即可停止進(jìn)程
我這里的病毒進(jìn)程號是22220,所以執(zhí)行kill 22220
教程結(jié)束,最后建議再修改一下服務(wù)器密碼+重啟服務(wù)器保險一點(diǎn)。
重慶藍(lán)純科技有限公司
渝公網(wǎng)安備 50010802005183號 