一、ld-linux-x86-64.so.2挖矿木马,排查操作记录

登录Linux系统，使用`top`指令检查CPU使用情况，发现名为`ld-linux-x86-64`的进程占用200%的CPU，疑似挖矿木马。记录进程ID为7531，开始排查。

执行`pwdx 7531`命令，发现该进程执行目录为`/usr/local/games/.cache`。使用`find/-name"ld-linux*"`命令确认，该木马位于`/usr/local/games/.cache`目录下。

注意，`/usr/lib64/ld-linux-x86-64.so.2`是系统文件，避免误删导致系统异常。进入木马所在目录，发现其包含`cron.d`、`run`、`stak3/stakcentosold/stakubuntunew`等文件。

进一步排查潜在进程，使用`ps-x| grep cache`和`ps-x| grep games`命令。实践证实，存在下载木马文件至`games`目录和解压`cache`目录并删除下载包的潜在进程。

清理操作包括：删除木马所在目录`/usr/local/games/.cache`，终止进程ID为7531的木马进程。删除命令分别为`rm-rf/usr/local/games/.cache`和`kill-9 7531`。

删除潜在进程后，务必再次确认`/usr/local/games/.cache`目录已被彻底清除。若先删除木马，潜在进程可能在清理前重新下载并解压木马，确保全面清理，避免残留。

二、Linux服务器清除xmrig挖矿病毒详细教程

面对服务器CPU被占用的问题，发现是由于xmrig挖矿病毒入侵。单纯通过kill命令只是阻止了进程运行，但病毒文件未被彻底移除，导致病毒会反复重启。这里提供一个详细的清除教程。

首先，通过SSH远程连接服务器，这是基础操作，这里不再赘述。

登录后，使用top命令检查进程，你会看到进程ID为22220，进程名为xmrig，占据大量CPU资源，记下这个进程号。

接下来，通过find或ls-l命令（例如：find/-name xmrig或 ls-l/proc/进程ID/exe）定位病毒文件的存放位置。举个例子，病毒文件位于/root/moneroocean/xmrig，需要替换为你的实际路径。

一旦找到文件地址，就可以执行删除命令，如：rm-rf/root/moneroocean。请确保替换为你的病毒文件路径。

最后，使用kill命令加上之前记下的进程号，停止病毒进程的运行。