新用戶專屬折扣:云服務器新購6折,獨立服務器新購8折,查看活動詳情>>>
近期遇到很多客戶咨詢服務器CPU被占滿,排查后發現中了xmrig挖礦病毒,并且通過kill 殺掉進程后,還會自動啟動。這是由于只是停止了xmrig挖礦病毒的進,沒有徹底刪除病毒文件,導致會病毒會自動重啟進程。
所以這里就教各位如何找到對應的xmrig挖礦病毒文件地址,并徹底進行刪除。
第一步:SSH連接服務器
如果SSH都不會連接的話,可以看一下教程:http://m.gathercc.com/doc/372.html
第二步:查看xmrig病毒文件的進程
執行top,就可以看到當前服務器下的所有進程,很明顯就能看到第一個進程號為22220,名稱為xmrig的進程,跑滿了服務器CPU,記住這個進程號。
第三步:找到xmrig病毒的文件地址
執行下面的命令,稍等一會兒,就可以檢索到病毒文件的地址
find / -name xmrig
從上圖可以看到,這臺服務器的xmrig病毒文件地址為 /root/moneroocean/xmrig,我們直接進這個文件地址刪除掉就可以了。
第四步:執行命令刪除文件命令
(記得將下面命令中的文件地址,替換為你自己檢索出來的病毒文件地址)
rm -rf /root/moneroocean
注意:我這里是刪除的整個moneroocean文件夾及下面的所有文件,一般情況下這下面都是病毒文件,如果你不放心的話,可以先執行ls /root/moneroocean看一下這個文件夾下面有哪些文件。
第五步:停止xmrig病毒文件進程
執行kill+進程號,即可停止進程
我這里的病毒進程號是22220,所以執行kill 22220
教程結束,最后建議再修改一下服務器密碼+重啟服務器保險一點。
重慶藍純科技有限公司
渝公網安備 50010802005183號 