Linux 挖矿 木马

3694 root 20 0 238m 7624 1244 S 100 0.4 39:42.89 /usr/bin/xl2tpd -B -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB -p x

1 、删除、卸载了 xl2tpd ，后又会出现
2 、全盘 搜索"43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB" 字符串中
3 、 stackoverflow.com 、 github 、 google 搜了 2 小时 没发现任何有效解决方案

看下父进程是哪个，把父进程给干了

你的 kill 和 ls 这些都是干净的？

不是挖比特币的，是挖门罗币（ xmr ）的，肯定装了相关的挖矿软件，卸载相关的挖矿软件试试， http://minexmr.com/#getting_started

= =！ 还有这种东西。。
当然是看父进程啊，找到根源。。

另一种比较快捷的方法， chmod -x ...

root 权限运行的，除非确定是自己装的，否则只有重装才能保证安全。

之前遇到类似的问题。看了一哥们写的解决方法 [http://r4bb17.com/minerd-clean/]( http://r4bb17.com/minerd-clean/)，服务器被添加了定时任务和异常服务，你参考参考。

@kiuyu 不会添加链接，尴尬了

@catror
@shanks 父进程是 /sbin/init


@kiuyu
@kiuyu
相关文章都尝试过了 没用啦

最后用： chmod 000 /usr/bin/xl2tpd 问题解决了 虽然 不知道问题本身在哪里 - -.

@hlg002 点到了感谢……感觉很可能是这样的，有一个定时任务，每次调用的时候开启挖矿进程后自己就退出，然后挖矿进程就会被 init 领养…

连基础 linux 能力都没有 还是重装系统吧

重装系统吧

把它的执行权限取消了。

只有重装一条路

感觉 linux 挂马点比较少， windows 挂马的地点比较多，只是 linux 中挂载点特别熟悉的人不多，

中过一次这样的
一般感染系统命令，劫持 network 服务， 处理思路:还原 network 服务文件 先系统加 i 表示的所有文件

肯定是安装了什么软件

http://git.oschina.net/finy/temp_files/blob/master/查杀 linux 后门跑虚拟货币程序.md?dir=0&filepath=查杀 linux 后门跑虚拟货币程序.md&oid=3fa3ffe9e8b9ddc73e50b6d497f09af5d2f88615&sha=8cbea5b4d6cfd3ea91c3b096acb895bf4345f4d0

遇到这种问题，最好是光盘版 linux 启动后，检查已安装包的完整性和各启动脚本。