原创作者:运维工程师 谢晋
错误信息
- 客户这边说某台虚拟机CPU突然暴增,用完了整个宿主机CPU资源
可以看到CPU使用确实很高
- 登录系统查看CPU使用情况
使用top查看CPU使用情况
# top
可以看到kdevtmpfsi进程,该进程明显是挖矿病毒进程
解决问题
- 如果直接kill掉kdevtmpfsi程序后续还会反复运行,所以要一次停掉他相关进程
- 打印出所有进程
# ps aux
可以看到kdevtmpfsi进程和他的守护进程kinsing
- kill两个挖矿进程
# kill -9 27978
# kill -9 28424
- 再次查看是否还有挖矿进程
# ps aux
# top
已无可以进程
- 查找挖矿病毒文件
# find / -name kdevtmpfs
/var/www/html/tmp/normal_2019/kdevtmpfs
# find / -name kinsing
/var/www/html/tmp/normal_2019/kinsing
进入该目录查看文件
# cd /var/www/html/tmp/normal_2019/
# ls
可以看到两个挖矿病毒文件
- 删除文件
# rm -rf kinsing
# rm -rf kdevtmpfs
# ls
病毒文件删除完成
- 检查计划任务是否有异常
# crontab -l 查看定时任务
# crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
我的系统下没有异常定时任务,如果有需删除定时任务