服务器中了 xmrig 挖矿病毒，杀掉进程后又再次出来进程的解决方法

最近收到一条阿里云服务器发出的短信警告，说我们正在利用服务器挖矿，必须立即停止挖矿活动。

SSH 连上服务器后，使用 top -c 命令，发现有个 mxrig 进程几乎把服务器 CPU 资源占满了

通过搜索发现 mxrig 是个挖矿病毒，然后就开始查找解决此病毒的方法。
很多文章就是找到病毒路径删除即可。然后我进入 /root 目录后，并未发现有 c3pool 目录。

我尝试直接通过 kill -9 pid 将进程杀掉后，第二天发现又有了，然后想到了这个病毒应该是通过定时任务在执行。

要关闭定时任务，首先进入 cron 目录

打开 cron 目录中的文件后，发现了一条定时任务

这条定时任务每隔23小时就要执行个 shell 脚本，通过路径找到 shell 脚本文件

打开 shell 文件后发现会从网上下载 shell 脚本再执行

通过网络地址查看下载的 shell 脚本，会发现脚本会将病毒文件拉到 c3pool 中执行，然后会删除 c3pool 目录

另外 /etc/crontab 文件中也有这个定时任务，需要删除

所以，我们将病毒进程杀掉后，再将定时任务删除就行了。