ip地址被盗用怎么办，有人挖矿

首先登记所有机器的网卡物理地址，即网卡的MAC地址。
开始的工作步骤，首先登记所有机器的网卡物理地址，即网卡的MAC地址，以后如果发现有IP地址被盗用，先使用Ping命令Ping相应的IP地址，然后用Arpa命令查看当前的Arp解析表，从中获得对方网卡的MAC地址。

服务器CPU使用率50%，被两个进程占用，名称分别为
-mysql
zfsutils-md5sum

使用crontab -l查看定时任务，发现病毒文件-mysql

查看这个/var/log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

查看/etc/crontabdaily目录，发现一个文件名为ntpdate

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

禁用crontab

云服务器中挖矿病毒的清除过程（一）
云服务器中挖矿病毒的清除过程（二）

---