被入侵，要么是密码泄露，要么是端口攻击。

1.执行top命令。找到进程占用cpu爆满的pid ，然后kill -9 pid。

2.写定时任务执行脚本监测删除

1. 建立清理挖矿脚本文件

#清理挖矿脚本_1: kill_xmrig.shfind / -name "*xmrig*" -exec rm -rf {} \;PID=`ps -ef | grep xmrig`
echo "查出xmrig相关的进程PID: $PID"
for item  in $PID
dokill -s 9 $itemecho "已经kill进程: $item"
done#清理挖矿脚本_2: kill-kdevtmpfsi.sh
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep xmrig |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
rm -rf /root/xmrig-6.21.1#清理挖矿脚本_3:clearTop.sh  针对cpu的
cpu_threshold=95 #设置CPU阈值（百分比）
processes=$(ps aux | awk '{if ($3 > '$cpu_threshold') print $2}') #获取所有CPU利用率大于阈值的进程PID列表
for pid in $processes; doprocess_info=$(ps -p "$pid" -o comm,user,%cpu --no-header) #获取每个进程的名称、用户及CPU利用率信息echo "Process ID: $pid"echo "Process Name: $(echo "$process_info" | cut -d' ' -f1)"echo "User: $(echo "$process_info" | cut -d' ' -f2)"echo "CPU Usage (%): $(echo "$process_info" | cut -d' ' -f3)"kill $pid
done

为文件授权

chmod +x kill-kdevtmpfsi.shchmod +x kill_xmrig.shchmod +x clearTop.sh

定时任务执行脚本，有则删除

#在linux目录/var/spool/cron 建立文件 root 内容如下：
#每1分钟执行一次
*/1 * * * * /root/kill-kdevtmpfsi.sh
*/1 * * * * /root/kill_xmrig.sh#每天凌晨2点执行一次脚本
0 2 ***/home/user/script.sh
#每周一到周五的上午9点30分执行一次脚本
30 9 **1-5/home/user/script.sh
#每隔10分钟执行一次脚本
*/10 ****/home/user/script.sh