1.使用top和htop指令查看,占用cpu比较高的进程
1.杀掉病毒进程
kill -9 病毒进程的PID
2.删除病毒文件
rm -fr /tmp/.weblogic
3.删除tomcat下病毒远程下载程序
- 停止tomcat进程服务: kill -9 `pgrep java`
- tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host-manager,ROOT,examples等)全部删除掉;
- 如果删除提示权限问题,使用chattr可进行解锁,使用lsattr可以查看文件的锁定属性;
4.删除病毒的定时任务
- 定时任务文件包括 /var/spool/cron/root和 /etc/crontab 两个部分,使用vi或vim修改时会提示无法修改(文件被锁定了),使用chattr可进行解锁,使用lsattr可以查看文件的锁定属性;
- 使用vi或者vim指令删除/var/spool/cron/root和/etc/crontab文件中可疑的指令:一般是文件(病毒)下载并执行,请仔细检查;
- 解锁指令如下:
chattr -aie /var/spool/cron/root
chattr -aie /etc/crontab