温馨提示：这篇文章已超过53天没有更新，请注意相关的内容是否还可用！

近期遇到很多人咨询服务器CPU被占满，排查后发现中了xmrig挖矿病毒，并且通过kill 杀掉进程后，还会自动启动。这是由于只是停止了xmrig挖矿病毒的进，没有彻底删除病毒文件，导致会病毒会自动重启进程。

所以这里就教各位如何找到对应的xmrig挖矿病毒文件地址，并彻底进行删除。

第一步：SSH连接服务器

太简单了，这里就不说明了，网站都能搭建出来，SSH应该小意思

第二步：查看xmrig病毒文件的进程

执行top，就可以看到当前服务器下的所有进程，很明显就能看到第一个进程号为22220，名称为xmrig的进程，跑满了服务器CPU，记住这个进程号。

第三步：找到xmrig病毒的文件地址

执行下面的命令，稍等一会儿，就可以检索到病毒文件的地址

从上图可以看到，这台服务器的xmrig病毒文件地址为 /root/moneroocean/xmrig，我们直接进这个文件地址删除掉就可以了。

第四步：执行命令删除文件命令

（记得将下面命令中的文件地址，替换为你自己检索出来的病毒文件地址）

注意：我这里是删除的整个moneroocean文件夹及下面的所有文件，一般情况下这下面都是病毒文件，如果你不放心的话，可以先执行ls /root/moneroocean看一下这个文件夹下面有哪些文件。

第五步：停止xmrig病毒文件进程

执行kill+进程号，即可停止进程

我这里的病毒进程号是22220，所以执行kill 22220

教程结束，最后建议再修改一下服务器密码+重启服务器保险一点。

打赏