服务器被植入挖矿病毒-xmrig

今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了，赶紧检查一下服务器的进程
使用top命令查看服务器的cpu和内存占用情况

情况一 root用户启动的病毒

1、发现一个名为xmrig的进程cpu占用率达到100%，启动用户还是root，这时先不用kill进程，先找到它的安装目录。
使用命令
ps -ef | grep xmrig
2、移动到他的主目录之后，进行rm -rf 此病毒的目录
3、然后直接kill -9 程序pid
4、为了以防万一，再查一下systemd自启动服务
systemctl list-unit-files
查看是否有一个名为c3pool_miner.service的程序，
如果此程序的状态是自启动，直接进行disable
systemctl disable c3pool_miner.service
重新查看就可以发现此程序已经被标记为disable了

情况二 其他用户启动的病毒

使用ps -ef | grep xmrig查到，如果发现此病毒的启动用户不是自己创建的，
1、首先要top 查找xmrig的pid
2、ps -ef | grep xmrig 查到安装目录，先不要删目录，先干掉他创建的用户system
userdel -r 用户名（system）
3、结束病毒进程 kill -9 病毒pid
4、删除安装程序 rm -rf 程序
修改/etc/sudoers文件，注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件，删掉system用户设置
上面两个文件都是制度文件，需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务，找到可以程序“c3pool_miner.service”
5、为了以防万一，再查一下systemd自启动服务
systemctl list-unit-files
查看是否有一个名为c3pool_miner.service的程序，
如果此程序的状态是自启动，直接进行disable
systemctl disable c3pool_miner.service
重新查看就可以发现此程序已经被标记为disable了

再分析一下为何会被植入病毒？

原因1：ssh的连接端口号默认使用22，且root的账号密码太简单，容易被识别爆破
解决方法：使用云服务器管理，将ssh的远程连接端口修改为10000以上的乱序端口，也可以加强自己的密码强度，防止被爆破。
原因2：防火墙没使用自启模式
systemctl start firewalld