1.普通使用者登入，輸入top命令

發現xmrig命令cpu使用率為193.4%，鎖定該程式為挖礦程式。

2.看到惡意的程序我們來看下程序的程式是在哪裡呼叫的，lsof -p pid執行這個命令，把TOP看到程序PID寫上，比如我的PID是804437 那就執行lsof -p 804437，我們可以看到呼叫的程式檔案位置在哪裡。

刪除病毒

[root@dev tmp]# sudo rm -r .ICE-unix/

殺死程序
kill -9 804437

使用者密碼洩漏了，修改使用者密碼

檢視定時任務

-----------------------------------

如果是病毒自動建立了新使用者，則刪除使用者
刪除安裝程式，這廝把安裝目錄遷移到了我的應用服務目錄tomcat的temp下，挺噁心的。
修改/etc/sudoers檔案，註釋掉system ALL=(ALL) ALL
修改/etc/shadow-影子檔案，刪掉system使用者設定 
***上面兩個檔案都是制度檔案，需要用wq!儲存退出
systemctl list-unit-files 檢視系統自啟動服務，找到可以程式“c3pool_miner.service”