方法

下面以xmrig为例

查看进程资源情况

 
$ top$ top -c
 
 

 

 

可以看到名为xmrig进程,进程号为2266348,CPU 飙升到99.7%,所属用户为test

检查端口的状态(按需)

 
$ netstat -aulntp
 
 
 

 

检查开机启动项(按需)

  • 检查/etc/init.d/目录下是否有可疑程序

$ ll /etc/init.d/

如何快速解决恶意进程导致CPU飙升问题 | Linux | 运维
原文链接: https://xie.infoq.cn/article/19d8ca5d79d970666ef35fa10

 

  • 检查/etc/rc.d/rc.local

 

因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件

 

 
$ cat /etc/rc.d/rc.local

检查定时任务(按需)

 
// 查看任务$ crontab -l$ cat /etc/crontab
// 进入计划任务服务配置$ crontab -

 

使用dd删除计划任务,输入命令wq!保存并退出

查看服务进程号

若知道服务进程号,可以跳过

 

 
$ ps -ef | grep xmrig$ ps -aux | grep xmrig // 查看进程号和位置

查看服务位置

若知道服务位置,可以跳过

 

 
$ ls -l /proc/2266348/exe

 

杀死服务进程

使用 kill 结束掉该服务

 

 
$ kill -9 2266348

删除服务文件

 
$ rm -rf /var/tmp/.mint-xmr/xmrig

删除服务所属用户

为避免下次在通过 test 植入挖矿、病毒、木马等程序,将 test 用户删除

 

 
$ userdel -r test

其它

如何按照上述方式处理后,又反复出现,这时候可以考虑是有另外的捆绑程序,我们可以先杀死进程后再查看网络情况,看看是否其它使用情况

 

 
// 查看网络$ iftop -PB// 通过PID查看进程$ lsof -i :[pid]// 定位程序目录$ cd /proc/[pid]// 比对路径$ ll

 

按照以上操作后,再重新kill该服务进程