起因是自己VPS挂的一个服务莫名其妙自动重启了，然后ssh远程连接的时候就很卡，原以为是IP要被墙了，但是ping了一下还是很正常的。

 

1、日本节点，理论上不应该这么卡，之前也很正常，所以排除了网络问题。

 

2、事出反常必有妖，然后看了一下内存占用还算正常。

free -h

应该也不是某个软件内存突然暴涨导致的卡顿。

 

3、查看了一下后台进程，自己习惯用bashtop，当然也可以用top或者htop

https://github.com/aristocratos/bashtop

然后就看到了他妈的xming进程。这几把玩意儿相当的吃CPU，所以才导致的卡顿。

 

然后进杀了进程，删了文件。

 

 

4、这台VPS，之前也没有放什么重要东西，起初只是测试一些程序用，所以设置了一个比较简单的密码，然后被爆破了。那次之后，但是自己早就禁止密码登录改密钥登录了。。。

 

查看了系统登录日志：

/var/log/auth.log

查看历史登录情况：

last

好像都没有任何异常登录，重启vps之后也没有在跑，就没有管它了。

 

5、第二天自己的服务，又莫名其妙重启了，ssh连接上，一看果然，这个鸡儿玩意又在挖坑。。。

查看时间和上一次的一样，那应该是挂了定时任务了。

查看定时任务，却都是正常的，都是自己定的任务。

crontab -l

 

系统timer也是正常的

systemctl list-timers

 

6、然后又回头查看系统日志：

/var/log/syslog

果然发现了，系统执行过几条命令：

killall xmrig && rm -rf /root/c3pool

时间都是一样的，所以又回头查看了一下定时任务。

 

看了/etc/cron.* 几个定时任务文件夹，都没有问题。。。

 

7、应该是被放了什么定时脚本了，虽然不知道在哪里，就全文搜索了一下。

cd /etc

grep -r "c3pool"

果然发现了脚本。

当然期间还用了，clamav 扫描了一下，发现太耗时就放弃了。

 

8、在aria2目录发现脚本，和 /etc目录发现crontab定时任务文件。

我是有开aria2服务在后台，但是没有设置密码登录。

想来应该就是被扫到6800端口在用，然后也没有设置密码，然后就自动下载了文件。