6.17号帮别人检查宝塔负载100%。

发现了这个东西↓

第一个目录的地方很奇怪。于是通过top发现xmrig占用了大量cpu

百度一下搜索发现是挖矿木马，尝试直接kill发现杀死之后又会自动重启

那就直接查找find / -name xmrig 文件，或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/

然后删除定时任务 rm -rf /var/spool/cron

继续删除ssh认证信息 rm -rf ./ssh/

具体原因，有可能是redis等程序导致，但是我也不确定，记录一下。

把服务器重启，宝塔面板端口和账号密码修改一下。打完收工！