最近很多客户咨询服务器的CPU被占用。经调查发现xmrig挖矿病毒,通过kill杀死进程后,会自动启动。这是因为xmrig挖矿病毒只是停止了,病毒文件并没有完全删除,导致病毒自动重启进程。
那么下面就是如何找到对应的xmrig挖矿病毒文件地址并彻底删除。
步骤1: SSH连接到服务器。
如果SSH连不上,可以看看教程:https://www.fzvps.com/15609.html.
第二步:查看xmrig病毒文件的过程。
当执行top时,可以看到当前服务器下的所有进程。很明显,你可以看到进程号为22220,名字为xmrig的第一个进程,这个进程占满了服务器CPU。记住这个流程号。
第三步:找到xmrig病毒的文件地址。
执行下面的命令,稍等片刻,就可以检索到病毒文件的地址了。
find / -name xmrig
从上图可以看出,这个服务器的xmrig病毒文件地址是/root/moneroocean/xmrig,我们只要去这个文件地址删除就可以了。
步骤4:执行删除文件的命令。
(记得用自己检索的病毒文件地址替换下面命令中的文件地址)
rm -rf /root/moneroocean
注意:我删除了整个moneroocean文件夹和下面的所有文件。一般下面的文件都是病毒文件。如果不放心,可以先执行ls /root/moneroocean,看看这个文件夹下有什么文件。
步骤5:停止xmrig病毒文件进程。
执行kill+进程号来停止进程。
这里的病毒进程号是22220,所以执行kill 22220。
教程最后建议修改服务器密码,重启服务器更安全。
评论前必须登录!
注册