1、top查看资源使用情况
文章插图
看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP , 查找资料后,发现它就是挖矿进程
2、排查kswapd0进程
执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息
【kswapd0进程 Linux的挖矿木马病毒清除】netstat -antlp | grep 194.36.190.30
文章插图
发现只有这一个进程(当然,很有可能还会有其他进程)
3、查找进程的详细信息
我们来到/proc/目录下查找对应的pid号,即/proc/497 。可以在这目录下找到kswapd0进程的详细信息 。
ll /proc/497
文章插图
4、查看进程的工作空间
ps -ef | grep kswapd0
文章插图
执行完后可以看到进程的pid以及进程相关文件的位置
5、切换到木马程序目录并删除
文章插图
rm -rf /var/tmp/.copydie6、清理定时任务
crontab -lcrontab -e清除后将定时任务里的相关文件都清理干净,若有其他用户,将其他用户的定时任务也清理 。
7、杀掉kswapd0进程
最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启
#kill -9 kswapd0进程的PIDkill -9 497
推荐阅读
- 三 AIR32F103 Linux环境基于标准外设库的项目模板
- 二 Linux进程间通信
- Docker在windows系统以及Linux系统的安装
- 一篇文章带你了解服务器操作系统——Linux简单入门
- 一步一图带你深入理解 Linux 虚拟内存管理
- 一 Linux进程间通信
- 故事 --- Linux和UNIX之间的那些爱恨与情仇
- linux下开机启动443程序无法访问解决方法
- llinux下mysql建库、新建用户、用户授权、修改用户密码
- Linux执行jsp命令的时候报错:-bash: jps: command not found