linux彻底清除挖矿进程

A. 如何kill掉linux的进程

首先，用ps查看进程，方法如下：
$ ps -ef
……
smx 1822 1 0 11:38 ? 00:00:49 gnome-terminal
smx 1823 1822 0 11:38 ? 00:00:00 gnome-pty-helper
smx 1824 1822 0 11:38 pts/0 00:00:02 bash
smx 1827 1 4 11:38 ? 00:26:28 /usr/lib/firefox-3.6.18/firefox-bin
smx 1857 1822 0 11:38 pts/1 00:00:00 bash
smx 1880 1619 0 11:38 ? 00:00:00 update-notifier
……
smx 11946 1824 0 21:41 pts/0 00:00:00 ps -ef
或者：
$ ps -aux
……
smx 1822 0.1 0.8 58484 18152 ? Sl 11:38 0:49 gnome-terminal
smx 1823 0.0 0.0 1988 712 ? S 11:38 0:00 gnome-pty-helper
smx 1824 0.0 0.1 6820 3776 pts/0 Ss 11:38 0:02 bash
smx 1827 4.3 5.8 398196 119568 ? Sl 11:38 26:13 /usr/lib/firefox-3.6.18/firefox-bin
smx 1857 0.0 0.1 6688 3644 pts/1 Ss 11:38 0:00 bash
smx 1880 0.0 0.6 41536 12620 ? S 11:38 0:00 update-notifier
……
smx 11953 0.0 0.0 2716 1064 pts/0 R+ 21:42 0:00 ps -aux
此时如果我想杀了火狐的进程就在终端输入：
$ kill -s 9 1827
其中-s 9 制定了传递给进程的信号是9，即强制、尽快终止进程。各个终止信号及其作用见附录。
1827则是上面ps查到的火狐的PID。
简单吧，但有个问题，进程少了则无所谓，进程多了，就会觉得痛苦了，无论是ps -ef 还是ps -aux，每次都要在一大串进程信息里面查找到要杀的进程，看的眼都花了。
更详细的请看www.linuxprobe.com

B. linux怎么彻底删除用户进程

userdel命令可以用于删除用户帐号及相关档案。
语法：userdel [-r] 用户名
参数：-r 用于彻底删除，用户HOME目录下的档案会被移除，在其他位置上的档案也将一一找出并删除，比如路径/var/mail/用户名 下的邮件。
警告：userdel不允许你移除正在线上的使用者帐号。你必须kill此帐号现在在系统上执行的程序才能进行帐号删除。
用法示例：
彻底删除名为的用户：
$ userdel -r

C. tasklsv.exe挖矿病毒如何彻底清除

请勿访问陌生网站，在陌生网站浏览、下载很可能导致中毒。

1. 若电脑中存在木马或者病毒程序，安装一款安全软件（例如：电脑管家等）。使用安全软件进行扫描全盘即可发现病毒并删除。若无法处理或者出现错误请尝试备份重要资料后重新安装系统。

2. 若手机中存在木马或者病毒程序，安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除。

D. linux有很多进程异常，被黑了，该如何清除

修改root密码，kil掉异常进程，删掉不用的账号

E. Linux系统被Carbon挖矿病毒入侵，杀掉之后过一段时间又起来了，有谁遇到过这种情况啊

这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

F. linux怎么杀批量进程进程

示例：在Linux平台上后台运行4个vim进程，使用如下命令即可同时结束掉4个vim进程

ps -efww|grep vim |grep -v grep|cut -c 9-15|xargs kill -9

说明：管道符“|”用来隔开两个命令，管道符左边命令的输出会作为管道符右边命令的输入。

“ps-efww”是查看所有进程的命令。这时检索出的进程将作为下一条命令“grep“的输入，注意要结束其它程序时，请将上面命令中的vim替换成其它程序名。

“grep -v grep”是在列出的进程中去除含有关键字“grep”的进程。

“cut -c 9-15”是截取输入行的第9个字符到第15个字符，而这正好是进程号PID。

“xargs kill -9”中的xargs命令是用来把前面命令的输出结果（PID）作为“kill -9”命令的参数，并执行该命令。

“kill -9”会强行杀掉指定进程，这样就成功清除了同名进程。

G. 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

H. 在linux怎么彻底删除应用程序

• linux没有提供象windows系统一样的回收站机制，所以，用rm命令删除的文件就彻底没有了（虽然没有真正清除文件数据，但很难恢复了）

• 通过rpm包安装的程序，可用rpm命令清除：

  #rpm -q -a 查询软件包名称

  #rpm -e [package name] 卸载相应软件包

• 卸载用源码安装的软件包
  

  一般的情况下，大多软件没有提供源码包的卸载方法，通过查看软件安装时的README和INSTALL 文件，找到软件的安装地点，进到该目录，进行相关文件删除。

I. 服务器上kdevtmpfsi挖矿程序怎么清除，进程杀掉还回自动起来

你可以先使用360进行杀毒，如果是顽固病毒，建议你是重装一下系统

J. 在linux下，进程非正常退出时，怎样释放掉已经生成的资源

一般linux使用kill来结束进程
Linux中的kill命令用来终止指定的进程（terminate a process）的运行，是Linux下进程管理的常用命令。通常，终止一个前台进程可以使用Ctrl+C键，但是，对于一个后台进程就须用kill命令来终止，我们就需要先使用ps/pidof/pstree/top等工具获取进程PID，然后使用kill命令来杀掉该进程。kill命令是通过向进程发送指定的信号来结束相应进程的。在默认情况下，采用编号为15的TERM信号。TERM信号将终止所有不能捕获该信号的进程。对于那些可以捕获该信号的进程就要用编号为9的kill信号，强行“杀掉”该进程。
1．命令格式：
kill[参数][进程号]
2．命令功能：
发送指定的信号到相应进程。不指定型号将发送SIGTERM（15）终止指定进程。如果任无法终止该程序可用“-KILL” 参数，其发送的信号为SIGKILL(9) ，将强制结束进程，使用ps命令或者jobs 命令可以查看进程号。root用户将影响用户的进程，非root用户只能影响自己的进程。

3．命令参数：
-l 信号，若果不加信号的编号参数，则使用“-l”参数会列出全部的信号名称
-a 当处理当前进程时，不限制命令名和进程号的对应关系
-p 指定kill 命令只打印相关进程的进程号，而不发送任何信号
-s 指定发送信号
-u 指定用户

注意：
1、kill命令可以带信号号码选项，也可以不带。如果没有信号号码，kill命令就会发出终止信号(15)，这个信号可以被进程捕获，使得进程在退出之前可以清理并释放资源。也可以用kill向进程发送特定的信号。例如：
kill -2 123
它的效果等同于在前台运行PID为123的进程时按下Ctrl+C键。但是，普通用户只能使用不带signal参数的kill命令或最多使用-9信号。
2、kill可以带有进程ID号作为参数。当用kill向这些进程发送信号时，必须是这些进程的主人。如果试图撤销一个没有权限撤销的进程或撤销一个不存在的进程，就会得到一个错误信息。
3、可以向多个进程发信号或终止它们。
4、当kill成功地发送了信号后，shell会在屏幕上显示出进程的终止信息。有时这个信息不会马上显示，只有当按下Enter键使shell的命令提示符再次出现时，才会显示出来。
5、应注意，信号使进程强行终止，这常会带来一些副作用，如数据丢失或者终端无法恢复到正常状态。发送信号时必须小心，只有在万不得已时，才用kill信号(9)，因为进程不能首先捕获它。要撤销所有的后台作业，可以输入kill 0。因为有些在后台运行的命令会启动多个进程，跟踪并找到所有要杀掉的进程的PID是件很麻烦的事。这时，使用kill 0来终止所有由当前shell启动的进程，是个有效的方法。