近期遇到很多客戶咨詢服務(wù)器CPU被占滿，排查后發(fā)現(xiàn)中了xmrig挖礦病毒，并且通過(guò)kill 殺掉進(jìn)程后，還會(huì)自動(dòng)啟動(dòng)。這是由于只是停止了xmrig挖礦病毒的進(jìn)，沒(méi)有徹底刪除病毒文件，導(dǎo)致會(huì)病毒會(huì)自動(dòng)重啟進(jìn)程。

所以這里就教各位如何找到對(duì)應(yīng)的xmrig挖礦病毒文件地址，并徹底進(jìn)行刪除。

第一步：SSH連接服務(wù)器

如果SSH都不會(huì)連接的話，可以看一下教程：https://www.lanmicloud.com/doc/372.html

第二步：查看xmrig病毒文件的進(jìn)程

執(zhí)行top，就可以看到當(dāng)前服務(wù)器下的所有進(jìn)程，很明顯就能看到第一個(gè)進(jìn)程號(hào)為22220，名稱為xmrig的進(jìn)程，跑滿了服務(wù)器CPU，記住這個(gè)進(jìn)程號(hào)。

第三步：找到xmrig病毒的文件地址

執(zhí)行下面的命令，稍等一會(huì)兒，就可以檢索到病毒文件的地址

find / -name xmrig

從上圖可以看到，這臺(tái)服務(wù)器的xmrig病毒文件地址為 /root/moneroocean/xmrig，我們直接進(jìn)這個(gè)文件地址刪除掉就可以了。

第四步：執(zhí)行命令刪除文件命令

（記得將下面命令中的文件地址，替換為你自己檢索出來(lái)的病毒文件地址）

rm -rf /root/moneroocean

注意：我這里是刪除的整個(gè)moneroocean文件夾及下面的所有文件，一般情況下這下面都是病毒文件，如果你不放心的話，可以先執(zhí)行l(wèi)s /root/moneroocean看一下這個(gè)文件夾下面有哪些文件。

第五步：停止xmrig病毒文件進(jìn)程

執(zhí)行kill+進(jìn)程號(hào)，即可停止進(jìn)程

我這里的病毒進(jìn)程號(hào)是22220，所以執(zhí)行kill 22220

教程結(jié)束，最后建議再修改一下服務(wù)器密碼+重啟服務(wù)器保險(xiǎn)一點(diǎn)。