【Linux】中病毒了怎么办？

介绍

小编遇到一个问题，从top中查看cpu占比100%，但是并未显示有占用的进程

遇到这个问题该怎么去排查？

排查过程

首先看到这个现象肯定是不正常的，应该是中病毒了。那么中病毒一般都是通过网络破开密码配置免密然后下发定时任务以及脚本，只要没有清理干净他就还会处罚。

这个问题我是先去看定时任务
crontab -l 的命令你是看不到的，在root下crontab -e 直接查看，小编在执行后发现一条每分钟执行的xbash一看就是病毒脚本。cron.d/下也有叫spirit.c的脚本 将其删掉后，去/etc/cron.* 所有文件都检查一下。

经过排查在cron.daily下看到xbash脚本，打开后发现有一个anacron的这个配置，我就立马去别的目录下发现了0anacron进去也是跟xbash相关联，一并删掉。在反复确认后没有多余脚本，那就该清理文件了，在脚本中可以看到 有wget还有运行相关。

这里教大家一个小技巧，在root用户看不到进程占用，可能就被隐藏了，那就创建个普通用户查看：
这里创建了test用户输入top可以看到一个进程cpu占了1600%

kill -9 862进程后过5分钟还是会起来的，所以要找到文件
在root 环境下pwdx 862 可以看到目录，但是你在目录下看不到文件 需要cd 进去 然后将文件内容全部删除，删除后注意 将文件夹名字改掉成其他的 然后改root密码、删除密钥，这样应该就不会有问题。