服务器又100%了，上一个挖矿病毒解决完，这几天又来了一个新的挖矿病毒。。。。

首先：又是经典的宝塔cpu100%。

还是先看进程

pstree这次是正常的，没看到异常的进程树
然后 top 发现一个【ext4】 一个中括号的进程占用了99%的cpu
我把这个进程单独看了一下 top -Hp PID 然后按了一下c，出现了这个。

进文件夹看看这又是个啥吧

病毒挖矿文件

sh文件：

config.json文件,中间一段：

"pools": [
{
"algo": null,
"coin": "monero",
"url": "xmr-asia1.nanopool.org:14444",
"user": "43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZWi44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9N5PepeajfmKp1X71EW7jx4Tpz.zookp",
"pass": "x",
"rig-id": null,
"nicehash": false,
"keepalive": false,
"enabled": true,
"tls": false,
"tls-fingerprint": null,
"daemon": false,
"socks5": null,
"self-select": null
}
],

也不懂什么意思，就只能删干净一下，然后把那个进程kill -9 PID 之后服务器恢复正常。下次再看看会不会出现吧。看看防火墙去