处理服务器恶意程序 kthreaddi挖矿

再次经历了服务器中恶意程序，一开始是ssh 服务器连接不上没反应，索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在，尝试进行启动nexus 一开始都是后台运行

./nexus start 
并看不到报错  只知道运行一会然后就没了  

然后操作前台运行

./nexus run
看到了运行到中间得时候  程序就突然被kill了

这个时候我直接就查看了主机得运行资源

#查看运行内存
free  -h
#查看硬盘内存
df -h
#查看CPU使用率
top

在这里插入图片描述

从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。 然后看看这个是什么文件一直运行

ll /proc/1061/exe
..................     /boot/.sdafasdf(deleted)...

由于没有截图只能回忆 ll /proc/1061/exe后得内容，大概就是boot下面有个程序启动得 但是后面括号又写着deleted删除，我切换到/boot目录下过然没有看到相关文件， 尝试kill -9 程序pid 他会重新生成新的程序继续跑慢你的cpu 根据之前得处理恶意程序得经验 我看一下计划性任务

在这里插入图片描述

如上看到了一个任务是在nexus文件夹下得东西

rm -rf ....../fofx5san  #进行删除

然后在修改定时任务

crontab -e 
进去之后直接dd删除这行

然后继续kill -9 程序pid 发现并不管用还是会生成新的恶意程序，同样还会生成新的计划性任务 然后我可以看到不管重新生成的计划性任务再怎么变 前面的路径都是不变的/data/nexus/nexus-2.14.8-01/… 我直接修改nexus-2.14.8-01的文件夹名字

mv nexus-2.14.8-01 nexus-2.14.8-01_bak

再次修改计划性任务进行删除 kill -9 程序pid 发现进程不会重新生成 并且不会有新的计划性任务