阿里云服务器挖矿程序清理

1.普通用户登录，输入top命令

发现xmrig命令cpu使用率为193.4%，锁定该程序为挖矿程序。

 

 

 

2.看到恶意的进程我们来看下进程的程序是在哪里调用的，lsof -p pid执行这个命令，把TOP看到进程PID写上，比如我的PID是804437 那就执行lsof -p 804437，我们可以看到调用的程序文件位置在哪里。

 

删除病毒

[root@dev tmp]# sudo rm -r .ICE-unix/

杀死进程
kill -9 804437

用户密码泄漏了，修改用户密码

查看定时任务

 

 

-----------------------------------

如果是病毒自动创建了新用户，则删除用户
删除安装程序，这厮把安装目录迁移到了我的应用服务目录tomcat的temp下，挺恶心的。
修改/etc/sudoers文件，注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件，删掉system用户设置 
***上面两个文件都是制度文件，需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务，找到可以程序“c3pool_miner.service”