时间:2023-06-28 04:12:02 | 来源:网站运营
时间:2023-06-28 04:12:02 来源:网站运营
有一天我的虚拟机被同事挖矿了:top -c -o %CPU-c 参数显示进程的命令行参数-p 参数指定进程的pidps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5cpu占用前五的进程信息
我实践了一下,一般的话,在终端输入top就行,就像这样netstat -anpt | grep pid这里的pid就是异常进程的pid
既然已经发现了这个异常的挖矿进程,那就用命令把这个进程处理掉。有些进程会引起子进程,可以用如下命令查看ps ajfxsystemctl status没有子进程的话,就用这个,一般这个就够了kill -9 pid 如果进程引起了子进程kill -9 -pid 这个就会删除整个进程组
一般情况,这样就结束了。但是过了一会,发现cpu又占用高了,检查发现进程又启动了,变成了pid6534,那么删除异常进程,删除定时任务kill -9 6354crontab -r
一般的话,这个挖矿病毒就这样被我们杀完了,但是,在个别情况下,挖矿病毒会为了保障挖矿的正常进行,还会有守护进程。systemctl status pid这里的pid是 6651
kill -9 4423kill -9 6651cd /tmprm -rf kinsingrm -rf kdevtmpfsi删光光
到这的话基本上就结束了关键词:同事,虚拟