环境

  • 系统:Centos7

因素

  • xmrig
  • dhpcd
  • vTtHH1

方法

下面以xmrig为例

查看进程资源情况

$ top
或
$ top -c

可以看到名为xmrig进程,进程号为2266348,CPU飙升到99.7%,所属用户为test

检查端口的状态(按需)

$ netstat -aulntp

检查开机启动项(按需)

  • 检查/etc/init.d/目录下是否有可疑程序
$ ll /etc/init.d/
  • 检查/etc/rc.d/rc.local

因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件

$ cat /etc/rc.d/rc.local

检查定时任务(按需)

// 查看任务
$ crontab -l
$ cat /etc/crontab

// 进入计划任务服务配置
$ crontab -e

使用dd删除计划任务,输入命令wq!保存并退出

查看服务进程号

若知道服务进程号,可以跳过

$ ps -ef | grep xmrig
$ ps -aux | grep xmrig // 查看进程号和位置

查看服务位置

若知道服务位置,可以跳过

$ ls -l /proc/2266348/exe

杀死服务进程

使用kill结束掉该服务

$ kill -9 2266348

删除服务文件

$ rm -rf /var/tmp/.mint-xmr/xmrig

删除服务所属用户

为避免下次在通过test植入挖矿、病毒、木马等程序,将test用户删除

$ userdel -r test

其它

如何按照上述方式处理后,又反复出现,这时候可以考虑是有另外的捆绑程序,我们可以先杀死进程后再查看网络情况,看看是否其它使用情况

// 查看网络
$ iftop -PB
// 通过PID查看进程
$ lsof -i :[pid]
// 定位程序目录
$ cd /proc/[pid]
// 比对路径
$ ll

按照以上操作后,再重新kill该服务进程

原文地址:http://www.cnblogs.com/appleex/p/ru-he-kuai-su-jie-jue-e-yi-jin-cheng-dao-zhicpu-bi.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性