1. 中病毒后主机症状
* 自定义的程序卡顿,例如:javaweb服务访问慢
* 执行top命令后,未知进程的cpu占用率一直处于50%以上(如果cpu为20核,则cpu占用率大于1000%)
2. 排查挖矿程序详情
执行top命令,找到cpu占用率最高的进程
[wzw@ABC ~]# top
ps命令查看该进程详情(xx代表进程编号PID)
[wzw@ABC ~]# ps -ef | grep xx
查看当前用户计划任务,因为挖矿病毒一般会定时启动
[wzw@ABC ~]# crontab -l
如果以上均为查到病毒进程脚本的存储位置,继续执行systemctl命令查看进程详情(xx代表进程名称)
[wzw@ABC ~]# systemctl status xx
3. 删除病毒执行脚本
一般情况下黑客会给执行脚本添加导致无法删除,此时执行以下lsattr命令查看文件属性(xx代表病毒脚本文件名称)
[wzw@ABC ~]# lsattr xx
如果文件属性中有i与a或者有其中一个属性,则执行chatter命令清楚属性(如果属性中有i则改ia为i,如果属性中有a则改ia为a,如果都有则使用下面命令)
[wzw@ABC ~]# chattr -ia filename
删除病毒执行脚本
[wzw@ABC ~]# rm -f filename