[kthreaddi]挖矿病毒处理,终于解决了！

云服务器被黑了，kthreaddi这货导致的。

kill后会自动重启。

定时器查看，有定时任务，关闭定时任务，还是会出现新的，每次都是不同的目录。

找到其中一个文件，搞了很长时间才知道是一个加了壳elf文件，反编译后60万行，想弄清楚代码逻辑是不太可行的。

准备放弃时更恶心的是来了，定时器产生的elf文件不在自动删除了（火大）。

于是，删文件，还顺带解决了问题。

解决方案：

执行netstat -ltnp，可以看见一个奇怪的进程名在监听52335端口（忘记截图了，端口可能会不一样），先把这个进程kill掉，再执行下面的步骤。

1.  du -b zwmdcg（其中一个文件的名字）获取到文件的大小；

2.  find ./ -size  4099324c -type f -exec rm {} \;；（查找并删除文件，可以先用查找文件   {} \;是{}+空格+；都是必要的，4099324换成文件实际大小）

3. crontab -l 查看定时任务，如果还有定时任务 crontab -r删除定时任务

4. kill kthreaddi进程。

5. 如果kthreaddi继续重启，反复执行2,3,4即可。

最后把防火墙什么的都检查一下，看后续会不会再被黑吧。