1.普通用户登录,输入top命令
发现xmrig命令cpu使用率为193.4%,锁定该程序为挖矿程序。
2.看到恶意的进程我们来看下进程的程序是在哪里调用的,lsof -p pid执行这个命令,把TOP看到进程PID写上,比如我的PID是804437 那就执行lsof -p 804437,我们可以看到调用的程序文件位置在哪里。
删除病毒
[root@dev tmp]# sudo rm -r .ICE-unix/
杀死进程
kill -9 804437
用户密码泄漏了,修改用户密码
查看定时任务
-----------------------------------
如果是病毒自动创建了新用户,则删除用户
删除安装程序,这厮把安装目录迁移到了我的应用服务目录tomcat的temp下,挺恶心的。
修改/etc/sudoers文件,注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件,删掉system用户设置
***上面两个文件都是制度文件,需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务,找到可以程序“c3pool_miner.service”