# 今天一个客户反应他的网站很慢,
# 于是登陆他服务器发现cpu被拉满,
# 可能就是中了挖矿的毒
# 先是通过 top 查看,发现可疑进程 -bash
# 但是进程都生命周期很短暂,
# 基本是刚看清pid ,进程就结束了
# 然后就决定先修改一下ssh端口,为ssh登陆安全加固,
# 把默认的22端口屏蔽,
vim /etc/ssh/sshd_config
# 找到 Port 22 ,在这一行前面加一个 #注释掉,
# 在下面一行写上修改后的端口号
Port {port}
# 保存退出后 重启ssh服务
service sshd restart
# 接着查看了 ~/.ssh/ 目录下,发现一个可疑文件 ruckusapd
# 把这个文件删除
# 这时发现 top 命令,显示的 -bash 可疑进程一直在运行了, 看到了进程号
# 通过进程ID查看进程状态 (详情查看下面截图)
systemctl status PID
# 找到了这个进程的载入文件
/etc/systemd/system/pwnrige.service
# 也发现为什么那个可疑进程运行完就被删除的原因
# ExecStart=/bin/bash -c cp -f -r -- /bin/sysdr /bin/-bash 2>/dev/null && /bin/-bash -c >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null
# 找到病毒文件并删除,
rm -rf /bin/sysdr
# 停止并删除相关服务
service stop pwnrige
rm -rf /etc/systemd/system/pwnrige.service
# 杀掉病毒进程
kill -9 PID
![](https://img2022.cnblogs.com/blog/838080/202203/838080-20220323161527766-1035366365.png)
Talk is cheap, show me the code.