自购百度云服务器一台,做网站测试用,配置不高,某天突然发现网站访问出问题了,登录使用top命令查看,发现CPU几乎被耗尽,如下:
其中kswapd0的进程很可疑,进一步查看了网络情况,发现其对外访问了45开头的一个IP,为荷兰的IP,经过网络简单搜索,可以肯定是中了挖矿木马,
接着查看该进程对应的目录情况,
清除过程:
1. 先杀死进程:kill -9 3307
2. 清除crontab
清除以上几个自动启动任务
3. 清除目录
# rm .X25-unix/ -rf
# rm -rf /root/.configrc/
完成上述操作后,重启,重启前再次执行前面的命令确认进程或文件是否还存在。
重启后一切正常。