kthreadadd64病毒复盘

前言：

事情的起因是在我打开探针发现了一台服务器的cpu一直居高不下，但是由于那一台vps是我转卖给我朋友的所以我先是问了他是跑了什么程序吗

后面得知这台服务器就跑了网站那就很奇怪了所以我就去finshell里看了进程然后就发现了病毒......

正文：

先贴一张当时进程的图片吧

很显然这个病毒演都不演了

啥程序正常运行在tmp下

尝试终止进程不出意外就是还是会重新启动

我先是去检查了有无定时任务

crontab -l

发现并没有

我的解决方案就是去进程中定位到运行目录，将相关文件全部删除

但是这个时候不出意外就是病毒还是会启动不过只要再定位几次删除文件之后那个病毒就会彻底消失

最后reboot服务器就恢复了正常

我一开始还以为是网站源码里有病毒，后来看到了这一张的分析

后面我就将服务器改为了密钥登录，现在服务器稳定运行