记一次Xmrig挖矿木马排查过程
2021年9月2日晚上，突然收到阿里云的一条短信，说是服务器被挖矿软件入侵了，马上打开电脑查看

控制台CPU占用

原因分析与解决方案
寻找原因
查找挖矿进程
top -H

从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名)

查找挖矿程序文件位置
root@xxx:/# find / -name ‘xmrig’
/root/.c3pool/xmrig --config=/root/.c3pool/config.json

我们尝试kill掉挖矿程序
kill -9 13501
发现kill掉后，进程任然会重新起来
只能通过rm -rf .c3pool/ 删掉其目录下的文件
删除后再kill掉进程发现没有再起来，接下来赶紧查看是哪的问题导致

经查看发现是从redis 上进入的，修改的ssh的key
总结

1. 查看计划任务
   Linux 系统中默认创建了计划任务后会在 /var/spool/cron 目录下创建对应用户的计划任务脚本，查询一下系统中是否有异常的计划任务脚本程序：

ls /var/spool/cron
发现已经清除了我之前的定时任务
重新创建定时任务
rm -rf /var/spool/cron/*
2. 查看密钥认证文件
删除木马创建的密钥认证文件，如果当前系统之前并未配置过密钥认证，可以直接清空认证存放目录：

rm -rf /root/.ssh/*
如果有配置过密钥认证，需要删除指定的黑客创建的认证文件即可。

3. 修复 SSH 配置项
   一般默认脚本中进行修改的 PermitRootLogin、RSAAuthentication、PubkeyAuthentication 为开启状态，需要修改的是密钥认证文件名，建议修改成默认值 AuthorizedKeysFile .ssh/authorized_keys 即可。修改完成后重启 sshd 服务，使配置生效即可。
4. 及时更改服务费登录密码等