1、top查看资源使用情况
看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程
2、排查kswapd0进程
执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息
netstat -antlp | grep 194.36.190.30
发现只有这一个进程(当然,很有可能还会有其他进程)
3、查找进程的详细信息
我们来到/proc/目录下查找对应的pid号,即/proc/497。可以在这目录下找到kswapd0进程的详细信息。
ll /proc/497
4、查看进程的工作空间
ps -ef | grep kswapd0
执行完后可以看到进程的pid以及进程相关文件的位置
5、切换到木马程序目录并删除
rm -rf /var/tmp/.copydie
6、清理定时任务
crontab -l
crontab -e
清除后将定时任务里的相关文件都清理干净,若有其他用户,将其他用户的定时任务也清理。
7、杀掉kswapd0进程
最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启
#kill -9 kswapd0进程的PID kill -9 497