1. 中病毒后主機症狀
* 自定義的程序卡頓,例如:javaweb服務訪問慢
* 執行top命令后,未知進程的cpu占用率一直處於50%以上(如果cpu為20核,則cpu占用率大於1000%)
2. 排查挖礦程序詳情
執行top命令,找到cpu占用率最高的進程
[wzw@ABC ~]# top
ps命令查看該進程詳情(xx代表進程編號PID)
[wzw@ABC ~]# ps -ef | grep xx
查看當前用戶計划任務,因為挖礦病毒一般會定時啟動
[wzw@ABC ~]# crontab -l
如果以上均為查到病毒進程腳本的存儲位置,繼續執行systemctl命令查看進程詳情(xx代表進程名稱)
[wzw@ABC ~]# systemctl status xx
3. 刪除病毒執行腳本
一般情況下黑客會給執行腳本添加導致無法刪除,此時執行以下lsattr命令查看文件屬性(xx代表病毒腳本文件名稱)
[wzw@ABC ~]# lsattr xx
如果文件屬性中有i與a或者有其中一個屬性,則執行chatter命令清楚屬性(如果屬性中有i則改ia為i,如果屬性中有a則改ia為a,如果都有則使用下面命令)
[wzw@ABC ~]# chattr -ia filename
刪除病毒執行腳本
[wzw@ABC ~]# rm -f filename