前提
今天想登录主机学习一下nginx,突然发现ssh登不上,于是上console看了眼,发现监控中cpu100%,从3/31号突然开始
发现
先通过top发现有一个pid141778的进程,名为xmrig,cpu占用率98%+。
通过百度查,发现这是一个挖矿病毒。于是根据网上的方式进行修复。
(图源网络)
修复
pkill进程
pkill 141778
通过这条命令kill到这个进程,后一分钟又自动启动了这个进程,于是去查看这个程序执行的具体文件。
ll进程信息
ll /proc/141778
lrwxrwxrwx 1 root root 0 Jul 11 13:04 exe -> /root/c3pools
删除该文件
rm -rf ~/c3pools
(未遇到)定时任务查询
在百度查询时,发现有些博客也回应了有可能有定时任务的可能。使用crontab -l查询
- 查询
crontab -l
- 删除
rm -rf /etc/crontab
ssh问题?
其实ssh并不是挖矿病毒导致的…………实际上是因为连着校园网,学校的某些配置禁用掉了…………
不过为了安全,云上还是建议给ssh的默认端口改掉
vim /etc/ssh/sshd_config
Port 22222
systemctl restart sshd