环境
- 系统:
Centos7
因素
- xmrig
- dhpcd
- vTtHH1
- ...
方法
下面以
xmrig为例
查看进程资源情况
$ top
或
$ top -c
可以看到名为xmrig进程,进程号为2266348,CPU飙升到99.7%,所属用户为test。
检查端口的状态(按需)
$ netstat -aulntp
检查开机启动项(按需)
- 检查
/etc/init.d/目录下是否有可疑程序
$ ll /etc/init.d/
- 检查
/etc/rc.d/rc.local
因为
/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件
$ cat /etc/rc.d/rc.local
检查定时任务(按需)
// 查看任务
$ crontab -l
$ cat /etc/crontab
// 进入计划任务服务配置
$ crontab -e
使用dd删除计划任务,输入命令wq!保存并退出
查看服务进程号
若知道服务进程号,可以跳过
$ ps -ef | grep xmrig
$ ps -aux | grep xmrig // 查看进程号和位置
查看服务位置
若知道服务位置,可以跳过
$ ls -l /proc/2266348/exe
杀死服务进程
使用kill结束掉该服务
$ kill -9 2266348
删除服务文件
$ rm -rf /var/tmp/.mint-xmr/xmrig
删除服务所属用户
为避免下次在通过test植入挖矿、病毒、木马等程序,将test用户删除
$ userdel -r test
其它
如何按照上述方式处理后,又反复出现,这时候可以考虑是有另外的捆绑程序,我们可以先杀死进程后再查看网络情况,看看是否其它使用情况
// 查看网络
$ iftop -PB
// 通过PID查看进程
$ lsof -i :[pid]
// 定位程序目录
$ cd /proc/[pid]
// 比对路径
$ ll
按照以上操作后,再重新kill该服务进程