linux徹底清除挖礦進程

A. 如何kill掉linux的進程

首先，用ps查看進程，方法如下：
$ ps -ef
……
smx 1822 1 0 11:38 ? 00:00:49 gnome-terminal
smx 1823 1822 0 11:38 ? 00:00:00 gnome-pty-helper
smx 1824 1822 0 11:38 pts/0 00:00:02 bash
smx 1827 1 4 11:38 ? 00:26:28 /usr/lib/firefox-3.6.18/firefox-bin
smx 1857 1822 0 11:38 pts/1 00:00:00 bash
smx 1880 1619 0 11:38 ? 00:00:00 update-notifier
……
smx 11946 1824 0 21:41 pts/0 00:00:00 ps -ef
或者：
$ ps -aux
……
smx 1822 0.1 0.8 58484 18152 ? Sl 11:38 0:49 gnome-terminal
smx 1823 0.0 0.0 1988 712 ? S 11:38 0:00 gnome-pty-helper
smx 1824 0.0 0.1 6820 3776 pts/0 Ss 11:38 0:02 bash
smx 1827 4.3 5.8 398196 119568 ? Sl 11:38 26:13 /usr/lib/firefox-3.6.18/firefox-bin
smx 1857 0.0 0.1 6688 3644 pts/1 Ss 11:38 0:00 bash
smx 1880 0.0 0.6 41536 12620 ? S 11:38 0:00 update-notifier
……
smx 11953 0.0 0.0 2716 1064 pts/0 R+ 21:42 0:00 ps -aux
此時如果我想殺了火狐的進程就在終端輸入：
$ kill -s 9 1827
其中-s 9 制定了傳遞給進程的信號是9，即強制、盡快終止進程。各個終止信號及其作用見附錄。
1827則是上面ps查到的火狐的PID。
簡單吧，但有個問題，進程少了則無所謂，進程多了，就會覺得痛苦了，無論是ps -ef 還是ps -aux，每次都要在一大串進程信息裡面查找到要殺的進程，看的眼都花了。
更詳細的請看www.linuxprobe.com

B. linux怎麼徹底刪除用戶進程

userdel命令可以用於刪除用戶帳號及相關檔案。
語法：userdel [-r] 用戶名
參數：-r 用於徹底刪除，用戶HOME目錄下的檔案會被移除，在其他位置上的檔案也將一一找出並刪除，比如路徑/var/mail/用戶名 下的郵件。
警告：userdel不允許你移除正在線上的使用者帳號。你必須kill此帳號現在在系統上執行的程序才能進行帳號刪除。
用法示例：
徹底刪除名為的用戶：
$ userdel -r

C. tasklsv.exe挖礦病毒如何徹底清除

請勿訪問陌生網站，在陌生網站瀏覽、下載很可能導致中毒。

1. 若電腦中存在木馬或者病毒程序，安裝一款安全軟體（例如：電腦管家等）。使用安全軟體進行掃描全盤即可發現病毒並刪除。若無法處理或者出現錯誤請嘗試備份重要資料後重新安裝系統。

2. 若手機中存在木馬或者病毒程序，安裝一款安全軟體（例如：手機管家等）。以手機管家為例，打開手機管家，點擊主界面上的一鍵體檢即可自動檢測手機中存在的病毒，點擊一鍵清除即可刪除。

D. linux有很多進程異常，被黑了，該如何清除

修改root密碼，kil掉異常進程，刪掉不用的賬號

E. Linux系統被Carbon挖礦病毒入侵，殺掉之後過一段時間又起來了，有誰遇到過這種情況啊

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後，使用裡面的病毒查殺功能，直接就可以查殺這種電腦病毒了

F. linux怎麼殺批量進程進程

示例：在Linux平台上後台運行4個vim進程，使用如下命令即可同時結束掉4個vim進程

ps -efww|grep vim |grep -v grep|cut -c 9-15|xargs kill -9

說明：管道符「|」用來隔開兩個命令，管道符左邊命令的輸出會作為管道符右邊命令的輸入。

「ps-efww」是查看所有進程的命令。這時檢索出的進程將作為下一條命令「grep「的輸入，注意要結束其它程序時，請將上面命令中的vim替換成其它程序名。

「grep -v grep」是在列出的進程中去除含有關鍵字「grep」的進程。

「cut -c 9-15」是截取輸入行的第9個字元到第15個字元，而這正好是進程號PID。

「xargs kill -9」中的xargs命令是用來把前面命令的輸出結果（PID）作為「kill -9」命令的參數，並執行該命令。

「kill -9」會強行殺掉指定進程，這樣就成功清除了同名進程。

G. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

H. 在linux怎麼徹底刪除應用程序

• linux沒有提供象windows系統一樣的回收站機制，所以，用rm命令刪除的文件就徹底沒有了（雖然沒有真正清除文件數據，但很難恢復了）

• 通過rpm包安裝的程序，可用rpm命令清除：

  #rpm -q -a 查詢軟體包名稱

  #rpm -e [package name] 卸載相應軟體包

• 卸載用源碼安裝的軟體包
  

  一般的情況下，大多軟體沒有提供源碼包的卸載方法，通過查看軟體安裝時的README和INSTALL 文件，找到軟體的安裝地點，進到該目錄，進行相關文件刪除。

I. 伺服器上kdevtmpfsi挖礦程序怎麼清除，進程殺掉還回自動起來

你可以先使用360進行殺毒，如果是頑固病毒，建議你是重裝一下系統

J. 在linux下，進程非正常退出時，怎樣釋放掉已經生成的資源

一般linux使用kill來結束進程
Linux中的kill命令用來終止指定的進程（terminate a process）的運行，是Linux下進程管理的常用命令。通常，終止一個前台進程可以使用Ctrl+C鍵，但是，對於一個後台進程就須用kill命令來終止，我們就需要先使用ps/pidof/pstree/top等工具獲取進程PID，然後使用kill命令來殺掉該進程。kill命令是通過向進程發送指定的信號來結束相應進程的。在默認情況下，採用編號為15的TERM信號。TERM信號將終止所有不能捕獲該信號的進程。對於那些可以捕獲該信號的進程就要用編號為9的kill信號，強行「殺掉」該進程。
1．命令格式：
kill[參數][進程號]
2．命令功能：
發送指定的信號到相應進程。不指定型號將發送SIGTERM（15）終止指定進程。如果任無法終止該程序可用「-KILL」 參數，其發送的信號為SIGKILL(9) ，將強制結束進程，使用ps命令或者jobs 命令可以查看進程號。root用戶將影響用戶的進程，非root用戶只能影響自己的進程。

3．命令參數：
-l 信號，若果不加信號的編號參數，則使用「-l」參數會列出全部的信號名稱
-a 當處理當前進程時，不限制命令名和進程號的對應關系
-p 指定kill 命令只列印相關進程的進程號，而不發送任何信號
-s 指定發送信號
-u 指定用戶

注意：
1、kill命令可以帶信號號碼選項，也可以不帶。如果沒有信號號碼，kill命令就會發出終止信號(15)，這個信號可以被進程捕獲，使得進程在退出之前可以清理並釋放資源。也可以用kill向進程發送特定的信號。例如：
kill -2 123
它的效果等同於在前台運行PID為123的進程時按下Ctrl+C鍵。但是，普通用戶只能使用不帶signal參數的kill命令或最多使用-9信號。
2、kill可以帶有進程ID號作為參數。當用kill向這些進程發送信號時，必須是這些進程的主人。如果試圖撤銷一個沒有許可權撤銷的進程或撤銷一個不存在的進程，就會得到一個錯誤信息。
3、可以向多個進程發信號或終止它們。
4、當kill成功地發送了信號後，shell會在屏幕上顯示出進程的終止信息。有時這個信息不會馬上顯示，只有當按下Enter鍵使shell的命令提示符再次出現時，才會顯示出來。
5、應注意，信號使進程強行終止，這常會帶來一些副作用，如數據丟失或者終端無法恢復到正常狀態。發送信號時必須小心，只有在萬不得已時，才用kill信號(9)，因為進程不能首先捕獲它。要撤銷所有的後台作業，可以輸入kill 0。因為有些在後台運行的命令會啟動多個進程，跟蹤並找到所有要殺掉的進程的PID是件很麻煩的事。這時，使用kill 0來終止所有由當前shell啟動的進程，是個有效的方法。