linux 挖矿病毒解决（syst3md）_auto.c3pool.org

早上来了测试服务器哇哇的响，一猜肯定是有异常病毒了，登陆服务器查看果然有问题。内存直接占了2000多，直接执行kill -9 pid 干掉之后，自己又重新起来了。然后就排查

 解决过程

1. 先看是否存在异常定时脚本 crontab -l。如果都是非正常定时脚本直接全部姗除。指令为：crontab -r 删除所有定时脚本任务。我这里排查时，没有发现异常定时任务

2.查找病毒进程来源。指令：ls -l /proc/1041/exe    1041为进程PID

通过指令可以发现病毒执行文件所在位置。进去文件下cd /var/tmp/..o/.miner/ 执行ll -lh 查看是否有最近日期增加的可执行文件。有的话，那就一定没跑了。绝对是它

3. 再次执行kill　-9 xxx 指令，并且删除执行文件 rm_rf   rm -rf /var/tmp/..o/.miner/syst3md  。如果是非root用户的话，可能会有权限问题，如果有权限问题。第一是sudo  第二先去掉文件权限

使用chattr -ia /var/tmp/..o/.miner/syst3md命令将文件的权限去掉，然后执行删除

通过这次，查找了一些有效参考的博客，奉上链接：

排查linux系统是否被入侵：https://www.cnblogs.com/iwalkman/p/10282291.html

感觉还有很多手段，有更多方法的，可以留言，欢迎交流！