当我们发现服务器资源大量被占用的时候，疑似中招了怎么办

 第一时间重启服务是不行的，这些挖矿木马一定是会伴随着你的重启而自动重启，一定时间内重新霸占你的服务器资源

  第一步检查高占用进程

top -c  ps -ef 

要注意这里%CPU，如果出现100.0之类或者异常高占用的进程，那么毋庸置疑它正在被奴役挖矿

可以看到我这边有一个名为xmrig（有经验的这里看到名字直接就能判断）的进程霸占了100.3的资源，这里中招了

那么我们怎么清退它呢？

ps -ef | grep xmrig  ps -ef | grep sysetmd

这里杀掉sysetmd进程

kill -9 475

我们可以在这里找到木马程序所在的目录，咱们进去把这些文件全删除了

rm -rf xmrig*  rm -rf /opt/sysetmd

删除了文之后，我们需要杀掉该挖矿进程

kill -9 挖矿进程的pid

kill -9 1138

这样挖矿的进程已经被删除了，还得做点其它的事

grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd" /etc/systemd/system/*

 发现这两个不知道哪里来的服务，进去look look

 可以发现它还是与木马有关，那我们得弄它

rm -f /etc/systemd/system/sysetmd.service rm -f /etc/systemd/system/monero.service

 好了服务弄没了

然后看看有没有定时任务，有的时候它会定时去检测xmrig挖矿木马是否在正常运行，不正常它会重新去做一系列的处理，重新植入木马，这时候我们要去取消这些定时任务

crontab -l

我这里没有异常的定时

然后，我们看看有没后门用户

cat .ssh/authorized_keys

这里我就不演示了，我用的事账号密码登录 ssh

我直接查看有没有留后门用户

cat /etc/passwd

有一个异常的账号，除了root，居然还有一个超级权限，这确定不是自己以及其它开发人员创建的

那么我们干他丫的

userdel shaojiang99

发现它被一个进程为1的进程使用

 注意这些看起来像系统进程的最好不要kill掉，容易出现意外，把生产环境的服务给干费了，那我们得去删掉这个后门用户怎么办

直接vipw

直接删除这个账号，发现怎么都保存不了，权限给过去也是没有办法

那我们来看看这个文件的属性

lsattr /etc/passwd

发现该文件的属性为i  锁定状态

chattr -i /etc/passwd 

然后再编辑 vipw

发现可以保存了

chattr +i /etc/passwd 

重新锁定

清理完了