區塊鏈的火熱，利益驅使必然導致不少PC或Server，被變成肉雞，執行挖礦程式進行挖礦，進而導致我們正常的程式無法正常。

(Centos7 Server)使用top命令檢視伺服器程序執行情況，發現幾個較詭異程序。CPU戰用長期居高不下，系統負載load average值更是高出平時近百倍，且程序執行在一個原本並不存在的使用者上。系統遭入侵是必然的，並且執行著佔用巨大算力的程式，聯想到之前由此阿里雲主機有過一次礦機入侵經歷，想必這次挖礦程式入侵已是大概率事件。

下面要做的就是找出挖礦程式，清除並提升系統安全性。

可以看到三個ld-linux-x86-64命令佔用較多記憶體，採用相關命令來查詢實際的執行檔案

#ll /proc/pid – 可以羅列出相關的檔案及目錄

開啟其中一個可疑檔案pools.txt

可明顯的看到這是一個挖礦程式在執行，裡面顯出了currency:monero7幣種類型（xmr門羅幣），pool_address礦池地址，wallet_address錢包址等等。 採用CryptoNight演算法的代表幣種就是Monero，即XMR，門羅。這個是門羅幣老演算法，適合CPU伺服器挖礦，顯示卡礦機挖礦。哪怕是低端辦公用的I3處理器也擁有4Mb以上的三級快取，能夠用於這個演算法計算。

找到挖礦程式執行的所在目錄後，直接清除掉即可。諸如如下目錄：

#rm -rf /tmp/bin

#rm -rf /tmp/.lsb

#rm -rf /tmp/.rpm

刪除掉程式目錄後，中止對應程序

#kill -9 PID PID2 PID3

通過檢視非法使用者是何時建立的

同時清除掉執行挖礦程式的使用者

通過date -d命令，可以看出hadoop非法使用者是在2018-07-04日創建出來的。

#userdel -r hadoop //連帶目錄一同刪除

梳理下本次清除挖礦程式的步驟：

1、確定對應的程序，找出挖礦程式的目錄位置

2、清除所有挖礦相關的所有檔案，並中止程序

3、清除非法使用者及使用者組

4、更新原有賬戶體系下使用者的密碼強度，安裝強有力的防護軟體，提升系統安全性。