搜索 ：centos病毒

crontab的学习
https://www.cnblogs.com/aminxu/p/5993769.html

挖矿程序的简单处理方法（可以找到程序位置的才可使用这种方法）
https://blog.csdn.net/qq_32731747/article/details/81558561

由于免密造成被植入挖矿程序
https://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html

linux根据进程号PID查找启动程序的全路径
https://blog.csdn.net/lsbhjshyn/article/details/18764613

查看sh脚本是否执行，也可以观察是否有恶意程序时刻启动sh脚本
在crontab中添加了定时任务，但发现没有得到期望的结果，因而怀疑是crontab没有执行相应的任务，但怎么定位crontab是否执行呢？
这就需要查看crontab的执行历史记录，具体位置如下：
cd /var/log
tail -100 cron
在cron文件中即可查阅已经操作过的相关定时任务。

查看守护进程（）一般病毒程序会
crontab -l

centos 根据PID找到文件的位置
top 得到pid
cd /proc/pid
ll
在列出的内容中exe指向的就是程序的绝对路径

查看定时任务
ls -l /etc/cron.*

2. 获取进程的pid后，然后使用命令ls -l /proc/${pid}，这个命令可以列出该进程的启动位置。
   ll /proc/22551

Linux在启动一个进程时，系统会在/proc下创建一个以PID命名的文件夹：
执行命令ll /proc/PID

• cwd符号链接的是进程运行目录;
• exe符号连接就是执行程序的绝对路径;
• cmdline就是程序运行时输入的命令行命令;
• environ记录了进程运行时的环境变量;
• fd目录下是进程打开或使用的文件的符号连接，在该文件夹下会有我们的进程的信息；
• 其中包括一个名为exe的文件即记录了绝对路径，通过ll或ls l命令即可查看。

---

找到某进程启动路径的方法是:
1.我们可以从ps命令中得到僵死进程的PID,如上例中23347
2.进入/proc目录下以该PID命名的目录中
3.输入ls -ail,结果中 exe链接对应的就是可执行文件的全路经详细信息
[root@edu-web1 /] ls /proc/? 找到23347文件夹
[root@edu-web1 /] cd /proc/23347

[root@edu-web1 23347] ls –ail

使用chkconfig --list查看，居然没有异常的东西！
查看crontab日志

查看crontab列表

crontab -l

查看crontab日志

ls /var/log/cron*
cat /var/log/cron-20151011 |more

解决挖矿程序
查看定时任务
crontab -l
杀死定时任务
crontab -r
创建定时任务
crontab -e