CentOs 服务器 一直 有这个 进程（比特币挖矿程序）

kill 了马上又出现 请问 如何彻底删除它呢？

3694 root 20 0 238m 7624 1244 S 100 0.4 39:42.89 /usr/bin/xl2tpd -B -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB -p x

1 、删除、卸载了 xl2tpd ，后又会出现
2 、全盘 搜索"43rBm98TWYnJdGhHmPChR7RP7WDUMwtF3gW6RaFkuJ9ZXvxsjx9UKAYX6meE929GRjWH9B3U4oCVtJGQPk5gWKXeMWBKqsB" 字符串中
3 、 stackoverflow.com 、 github 、 google 搜了 2 小时 没发现任何有效解决方案

看下父进程是哪个，把父进程给干了

你的 kill 和 ls 这些都是干净的？

不是挖比特币的，是挖门罗币（ xmr ）的，肯定装了相关的挖矿软件，卸载相关的挖矿软件试试， http://minexmr.com/#getting_started

= =！ 还有这种东西。。
当然是看父进程啊，找到根源。。
另一种比较快捷的方法， chmod -x ...

root 权限运行的，除非确定是自己装的，否则只有重装才能保证安全。

之前遇到类似的问题。看了一哥们写的解决方法 [http://r4bb17.com/minerd-clean/]( http://r4bb17.com/minerd-clean/)，服务器被添加了定时任务和异常服务，你参考参考。

不会添加链接，尴尬了


父进程是 /sbin/init



相关文章都尝试过了 没用啦
最后用： chmod 000 /usr/bin/xl2tpd 问题解决了 虽然 不知道问题本身在哪里 - -.

点到了感谢……感觉很可能是这样的，有一个定时任务，每次调用的时候开启挖矿进程后自己就退出，然后挖矿进程就会被 init 领养…

连基础 linux 能力都没有 还是重装系统吧

重装系统吧

把它的执行权限取消了。

只有重装一条路

感觉 linux 挂马点比较少， windows 挂马的地点比较多，只是 linux 中挂载点特别熟悉的人不多，

中过一次这样的
一般感染系统命令，劫持 network 服务， 处理思路:还原 network 服务文件 先系统加 i 表示的所有文件

肯定是安装了什么软件

http://git.oschina.net/finy/temp_files/blob/master/查杀 linux 后门跑虚拟货币程序.md?dir=0&filepath=查杀 linux 后门跑虚拟货币程序.md&oid=3fa3ffe9e8b9ddc73e50b6d497f09af5d2f88615&sha=8cbea5b4d6cfd3ea91c3b096acb895bf4345f4d0

遇到这种问题，最好是光盘版 linux 启动后，检查已安装包的完整性和各启动脚本。

http://r4bb17.com/minerd-clean/

重装吧。。 Linux 下的木马很难完全清理干净

挖门罗币的 哇哈哈哈哈

在 linux 下染上了木马没有任何办法，搞不好 gcc 都被植入了木马代码，重装是条明路

重装系统吧

用软件包管理器对所有的软件校验一下吧 看看哪些被修改了

Windows 启动的东西太多了，所以，就命令行也没几个地方

重装前记得找到木马的入口，不然几天后，

然后软件包管理器也被感染了

如果是服务器 —— 备份后重装。
如果是个人电脑 —— 备份后择日重装。
只要木马是用 root 权限运行的，那就没有能完全清除木马的办法了 —— 除非完全覆盖每一个文件，也就是我们说的重装。

竟然没人回复 rm -rf /*

然而校验依旧是能校验出来的

可能 ps ls chmod 之类的命令都被篡改了呢

这种跑币外挂有没有可能获取到 id 信息呢?