记录一次CenterOS7中xmrig挖矿病毒的排查测试

1.首先突然发现ssh登录不上liunx了，然后以为ssh服务挂了，结果并没有发现被篡改了密码。

打开了top查看有一个进程占用cpu非常高。

 然后输入

/proc/13258/exe             13258为pid 

查看此进程从哪里产生的。结果产生在：

然后干掉此文件夹下所有文件。

他还在 crontab （定时文件里设置了自启动相关的东西）执行下方命令：

crontab -e

将里面的内容觉得可疑的都干掉。（up主没其他任务内容全干掉了0。0）。

然后再用KILL 9干掉他的进程。 

kill -9 13258

再看看他过段时间还在进程重启吗，不重启应该就干掉了