Linux服务器中挖矿病毒了，如何清理

Linux服务器中挖矿病毒了，有病毒的脚本文件一直在执行，kill了也会生成新的，一直找不到对应的病毒路径

/bin/.sh是个什么文件，脚本么，还是一个可执行程序

根据你截图试着去看看 service文件里，是不是有相关的启动参数

• 这个问题的回答你可以参考下: https://ask.csdn.net/questions/351314
• 这篇博客你也可以参考下：Linux中kill命令杀不掉进程的解决办法
• 你还可以看下linux参考手册中的 linux kill 用于手动终止进程。kill命令向一个进程发送信号，终止该进程。
• 除此之外, 这篇博客: 如何在 Linux 命令行中终止进程？中的 使用 kill 命令 部分也许能够解决你的问题, 你可以仔细阅读以下内容或跳转源博客中阅读:
  

• 该kill命令要求您知道要终止的进程的 ID，以及可选的终止信号。

  要简单地终止命令，请使用以下语法：

  kill [signal] <PID>
  

  向 PID 发送终止信号是可选的，如果未提供任何信号，则kill默认发送 SIGTERM ( 15)，以正常终止所述进程结束。

  我启动了sleep 命令的后台进程（它给了我一个 PID），让我们尝试使用kill命令杀死它。

  杀死这个特定的实例sleep如下所示：

  $  sleep 120 &
  [1] 125686
  
  $ kill 125686
  [1]  + terminated  sleep 120
  

  如果我想使用终止信号，我可以使用数值或信号本身：

  $ sleep 120 &
  [1] 125746
  
  $ kill -SIGKILL 125746
  [1]  + killed     sleep 120
  
  ####----##-----####
  
  $ sleep 120 &
  [1] 125759
  
  $ kill -9 125759
  [1]  + killed     sleep 120
  

  🗒️ 如果 kill 命令没有指定信号，则默认使用 SIGTERM (15)。

• 您还可以看一下 黄强老师的3小时快速学习Linux系统、零基础 ubuntu系统linux命令 课程中的 kill命令、杀死进程小节, 巩固相关知识点
  

你top看下对应进程的进程id,然后 cd /proc/进程ID 就能看到，假如我的进程id是29506

然后你进入到cwd对应的目录就能找到宿主进程，强制杀死后，注意你的防火墙是不是没有加安全策略，开放了太多的端口被网络攻击通过kafka连接上传了脚本。

还有一种办法就是你在/bin目录下创建一个.sh目录 chattr +i .sh 防止病毒再次对此目录篡改

改完之后注意看下crontab -e 有没有定时脚本来挖矿，有的话要删除掉
望采纳

Linux服务器中挖矿病毒的话，那就要找到这个病毒然后删除，可以尝试安装一些杀毒软件来实现，比如ClamAV 、Chkrootkit 等。其次如何这些杀毒软件查杀不了，就手动查找下，根据进程和文件修改的日期等，推测出是哪个病毒脚本，然后删除掉。 同时删掉定时任务。再次，中挖矿病毒一般都是密码太弱的缘故，建议修改密码。最后可以在/etc/hosts 最后设置一些东西，让挖矿流量跑不出去。具体的操作指令，可以参考：https://blog.csdn.net/yb890102/article/details/128567947