A

今天突然心血来潮，去看了下哪吒面板

和往常一样扫了一圈，发现有台服务器cpu 100%

感觉有点问题，想着又有啥软件炸了

B

登录后使用 top 命令查看，发现是一个叫 xmrig 的程序

一时想不起这是啥？我有装过吗？

于是谷歌搜了下，发现居然是挖矿软件！！！

Xmrig 挖矿软件- 描述，支持的硬币和算法

Xmrig支持RandomX、KawPow和CryptoNight。在CPU以及Nvidia和AMD的GPU上都能运作。它支持所有操作系统，包括Windows、Linux、macOS和FreeBSD。Xmrig是挖矿门罗币的一个热门选择。标准费用是1%（软件每运作100分钟，开发者收取1分钟的利益）。该费用可能增加或完全消除。

C

再用命令 ps -eo lstart,pid | grep xxxx 查了下，启动时间是 Sun Sep 8 **:**:** 2024 ，打开1panel查了下，找到几个差不多时间的登录记录

居然是密码登录上去的，我密码也不是初始密码啊，好像也没泄露过...

想了想，好像是在云服务商那边改过，并且能明文显示密码...但这也不一样会被盗啊...

D

又双叒叕想了下，现在应该是检查数据和删除挖矿程序...

我赶紧翻了下网站目录，又检查跑的网站和数据库，发现没有被动，万幸

下面接着去删程序，我kill了下 xmrig ，发现会自动重启，想了想估计又有啥守护程序

对着 top 和 ps 命令找了半天 ，没找到程序

突然又想到最常用的 systemctl ，上网搜了下怎么查看全部守护进程

systemctl list-unit-files --type=service ，用命令看了下，发现就在前几行 c3pool_miner.service

stop+disable了下，果然停止运行了

挖矿文件

E

这次运气算好的，投毒的人还算有点道德，就塞了个挖矿，没有藏也没有动其它文件

删完后赶紧改了密码，用的随机生成的长字符串，后面想了下还不放心，直接禁止密码登录了

（其实部署了fail2ban，但是好像没用...）

安全安全安全安全安全安全安全安全安全安全安全安全😭😭😭