阿里云挖矿病毒解决

有一次，我们在阿里上的服务器收到这样的短信。

【阿里云】尊敬的xxxxxx: 
经检测您的阿里云服务（ECS实例）xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求，请您于2023-02-27 00时前完成挖矿问题整改，否则您的服务将被关停，详情请查看邮件或阿里云站内消息通知。
若您有其他问题，可登陆阿里云官网在线咨询

 这就是中了挖矿病毒，如何处理它？

第一步：看是否有消耗cpu的进程

用top命令看CPU进程 

果然很厉害，杀了它

kill -9 32607

第二步 ：看有没有定时任务

（1）用下面这个命令：

crontab -l

有这么多命令啊。。。

（2）别急着删除，仔细看清楚目录。一个一个删除

rm -rf /root/.configrcrm -rf /dev/shm

（3）然后用下面这个命令

 crontab -e

然后跟vi一样操作，把内容删除掉

第三步：有问题的端口号

systemctl status 有问题的端口号

比如top看到的是这个

我们现在就看27258这个进程

往下翻，看到这里（27258）

进这个目录，把所有东西删除

第四步：然后 最好安装一下ClamAV 扫一下，有没有其他病毒

参考下面这个链接：

​​​​​​【Linux】安装杀毒软件(漏洞扫描工具)ClamAV 并配置邮件告警操作指南-CSDN博客

这里提炼几个步骤

#安装
yum -y install epel-release
yum -y install clamav clamavd clamav-update#更新病毒库
freshclam

以上命令可以不需要-l参数

clamscan -i -r /data/clamscan -i -r /data --remove=yes

第五步：限定22端口的访问ip，免得别人再进来。

 这个地方填写你的IP地址就好了。

最后：别忘了改用户密码

命令：passwd [用户名]