近期遇到很多客戶咨詢服務(wù)器CPU被占滿，排查后發(fā)現(xiàn)中了xmrig挖礦病毒，并且通過kill 殺掉進(jìn)程后，還會自動啟動。這是由于只是停止了xmrig挖礦病毒的進(jìn)，沒有徹底刪除病毒文件，導(dǎo)致會病毒會自動重啟進(jìn)程。

所以這里就教各位如何找到對應(yīng)的xmrig挖礦病毒文件地址，并徹底進(jìn)行刪除。

第一步：SSH連接服務(wù)器

如果SSH都不會連接的話，可以看一下教程：http://m.gathercc.com/doc/372.html

第二步：查看xmrig病毒文件的進(jìn)程

執(zhí)行top，就可以看到當(dāng)前服務(wù)器下的所有進(jìn)程，很明顯就能看到第一個進(jìn)程號為22220，名稱為xmrig的進(jìn)程，跑滿了服務(wù)器CPU，記住這個進(jìn)程號。

第三步：找到xmrig病毒的文件地址

執(zhí)行下面的命令，稍等一會兒，就可以檢索到病毒文件的地址

find / -name xmrig

從上圖可以看到，這臺服務(wù)器的xmrig病毒文件地址為 /root/moneroocean/xmrig，我們直接進(jìn)這個文件地址刪除掉就可以了。

第四步：執(zhí)行命令刪除文件命令

（記得將下面命令中的文件地址，替換為你自己檢索出來的病毒文件地址）

rm -rf /root/moneroocean

注意：我這里是刪除的整個moneroocean文件夾及下面的所有文件，一般情況下這下面都是病毒文件，如果你不放心的話，可以先執(zhí)行l(wèi)s /root/moneroocean看一下這個文件夾下面有哪些文件。

第五步：停止xmrig病毒文件進(jìn)程

執(zhí)行kill+進(jìn)程號，即可停止進(jìn)程

我這里的病毒進(jìn)程號是22220，所以執(zhí)行kill 22220

教程結(jié)束，最后建議再修改一下服務(wù)器密碼+重啟服務(wù)器保險(xiǎn)一點(diǎn)。