阿里云服务器挖矿程序清理

1.普通用户登录,输入top命令

发现xmrig命令cpu使用率为193.4%,锁定该程序为挖矿程序。

 

 

 

2.看到恶意的进程我们来看下进程的程序是在哪里调用的,lsof -p pid执行这个命令,把TOP看到进程PID写上,比如我的PID是804437 那就执行lsof -p 804437,我们可以看到调用的程序文件位置在哪里。


 

删除病毒

[root@dev tmp]# sudo rm -r .ICE-unix/

杀死进程
kill -9 804437

用户密码泄漏了,修改用户密码

查看定时任务

 

 

-----------------------------------

如果是病毒自动创建了新用户,则删除用户
删除安装程序,这厮把安装目录迁移到了我的应用服务目录tomcat的temp下,挺恶心的。
修改/etc/sudoers文件,注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件,删掉system用户设置 
***上面两个文件都是制度文件,需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务,找到可以程序“c3pool_miner.service”

posted @ 2022-05-05 16:46  RyderWang  阅读(467)  评论(0编辑  收藏  举报