现象
挖矿病毒的特点之一就是会表现出CPU负载接近饱和,因此先用free -m指令查看CPU的负荷情况。
定位
- 使用
ps -aux | head -1;ps -aux |grep -v "USER" | sort -nr -k 3 | head
命令解析:查看CPU占用百分比前十的进程。head -1显示第一行,grep -v取反,sort -nr按照数字降序排列,sort -k 3按照第三列排列,head后面不加数字表示默认显示10行。 - 在kill掉异常进程之后可能会发现过一段时间或者重启后异常线程重新开启的情况,这可能是因为它开启了定时执行的操作或者开启了开机自启动。
- 使用
crontab -l
查看当前用户下的定时启动项目。 cat /etc/rc.local
查看是否有非法的开机自启动脚本。