本文共 580 字，大约阅读时间需要 1 分钟。

处理服务器挖矿病毒 - kthreaddi

- 当你服务器出现以下症状，恭喜你中奖了

今天一早打开服务器发现卡的不行，于是使用top命令查看了一番，果然不出所料，服务器被挖矿了，下面带来完整的解决办法！

由于比特币的疯涨，可能带动了其他挖矿病毒的产生，这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器，可谓是损人不利己，十分恶毒！！！

先看看kthreaddi 丑陋面目

使用用 ll /proc/3436看看 哪里运行的 当看到是出现在www下面文件时并且[kthreaddi]进程用户是www 那就可能是通过web方式注入的，排除了我的第一个构思通过Redis端口进入的，然后切换到这个文件 还不现出原形！ 里面有个链接打开竟然这么一条外国猛男的广告！

【 kthreaddi 】是挖矿病毒 不断的写入定时任务 执行操作

找到了你以为就解决了吗？

先是top命令查占用进程PID 3436直接杀死 但是过一段时间又会自动的建立进程，想想也是人家凭本事进来的岂能说走就走 这类杀不死并不是生命力顽强，而是有个任务在不停的跑

使用查看定时任务命令 crontab -e 果然有一条定时任务，更加可气的是找不到这个文件

那就只能 删除所有定时任务，那好说，宁可错杀一千，不能放过一个（过于鲁莽，建议先备份下定时任务的文件）

于是世界安静了！

转载地址：http://caegn.baihongyu.com/