记一次处理挖矿程序xmrig的过程

  1. 现象
    挖矿xmrig占用100%CPU
    image
  2. 处理过程
    kill掉进程,后会立即启动
# kill pid
# kill 14527

通过pid找到病毒文件地址

# ls -l /proc/PID/exe

找到病毒文件夹目录为

/root/c3pool

使用rm删除文件会报权限错误
使用lsattr查看隐藏权限为e表示可以追加

# lsattr miner.sh 
-------------e-- miner.sh

无法删除文件就重定向空给该文件

# > miner.sh

再次kill掉进程就没有再重启了

# kill PID
posted @ 2024-07-12 19:51  minseo  阅读(8)  评论(0编辑  收藏  举报