kswapd0病毒查杀过程

一、发现病毒

1、服务器负载异常高

2、使用top命令查看到kswapd0进程是用test用户起的

3、查看应用连接发现有外网IP连接

4、查询IP归属地，发现是荷兰的IP

5、查看程序的路径，发现是在test用户的家目录里

6、查看crontab计划任务

7、查看/tmp目录是否有异常文件

  结果是 /tmp目录下有一个脚本test用户的文件

8、查看进程，发现有个redis的进程

二、处理病毒

1、删除所有的crontab计划任务

crontab -e -u test

2、杀掉病毒进程

3、删除用户和文件（前提是正规业务没有用到此用户）

userdel -r test

4、删除/tmp目录下test用户的文件

5、观察病毒是否会再生

三、疑问

1、这台服务器没有映射过外网，只开启了外网访问，病毒是如何入侵的还没弄清楚

2、redis是否是病毒启动的，用处又是什么

如果哪位大神有什么线索或者经验，还望留言指导一下。