服务器中了 Xmrig 木马

資深大佬 : stephCurry 3

首先发现服务器 4 核 cpu 爆满，然后找到执行的路径。木马文件路径如下：

/tmp/.mx ├── a ├── a2 ├── cron.d ├── h64 ├── run ├── update ├── update2 ├── x ├── x2 └── xm64

发现 cron.d 中不断执行* * * * * /tmp/.mx/update >/dev/null 2>&1 和 * * * * * /tmp/.ICE-unix/.init/./sshd -lan 局域网 ip;

通过尝试手动执行 update, 提示信息出了 https://xmrig.com/wizard , 遂知是 xmrig 挖矿木马;

但是/tmp/.ICE-unix/文件下并没有任何文件，所以想知道那个 sshd -lan #IP 到底是干什么的?

至于清理木马，直接把 /tmp/.mx 文件删了，crontab 清理了，kill 掉执行的木马进程即可。

大佬有話說 (4)

資深大佬 : touno

所以？重装系统解决百分之九十以上问题~好的！下一个~

資深大佬 : hotsymbol

rm -f **/**

資深大佬 : Les1ie

这个 sshd 可能并不是平时用于 ssh 的 /usr/sbin/sshd，可能是某个恶意进程改了个名字

資深大佬 : eason1874

好奇怎么做到 4 核爆满的，我自己配置，换了好几个系统都只能跑满一半核，16 核只会有 8 个核在跑，换 8 核又只有 4 核在跑，给我浪费了服务器试用时间