这台云主机过年回家有段时间没用了。然后上去使用的时候很卡,top看了一下
这挖矿病毒把我cpu被吃光了,,,
执行命令`netstat -antlp | grep kswapd0`
查询该进程的网络信息
连接了一个荷兰的ip
找一下哪里存在这个文件`find / -name kswapd0`
或者看一下起这个进程的文件在哪里也能找到
`ls -l /proc/1559/exe`
进到这个目录看一下,病毒程序的文件目录,其中的kswapd0就是主体,另外还包含了创建计划任务,开始/结束等sh脚本。
继续查一下计划任务`cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}`
查了一下发现是postgres用户密码没改~
找到原因了 后续就好干了
先杀掉进程
kill -9 1559
删除文件夹
rm -rf .configrc/
删除计划任务
定时任务的目录在 /var/spool/cron 下面
或者crontab -l -u postgres也可以列出来
删除即可
最后修改postgres用户密码!!!