Linux的挖礦木馬病毒清除(kswapd0進程)
1、top查看資源使用情況
看到這些進程一直在變化,但是,主要是由於kswapd0進程在作怪,佔據了99%以上的CUP,查找資料後,發現它就是挖礦進程
2、排查kswapd0進程
執行命令netstat -antlp | grep kswapd0 查詢該進程的網路資訊
netstat -antlp | grep 194.36.190.30
發現只有這一個進程(當然,很有可能還會有其他進程)
3、查找進程的詳細資訊
我們來到/proc/目錄下查找對應的pid號,即/proc/497。可以在這目錄下找到kswapd0進程的詳細資訊。
ll /proc/497
4、查看進程的工作空間
ps -ef | grep kswapd0
執行完後可以看到進程的pid以及進程相關文件的位置
5、切換到木馬程式目錄並刪除
rm -rf /var/tmp/.copydie
6、清理定時任務
crontab -l
crontab -e
清除後將定時任務里的相關文件都清理乾淨,若有其他用戶,將其他用戶的定時任務也清理。
7、殺掉kswapd0進程
最好把木馬程式和定時任務都清理完了再殺掉,要不然還會自動重啟
#kill -9 kswapd0進程的PID kill -9 497
