linux centos7 kswapd0 占用cpu过高

linux centos7 kswapd0 占用cpu过高

今天发现腾讯云服务器突然卡顿了，记录下遇到的问题。

执行命令top查看资源使用情况，好家伙，kswapd0，这个是什么玩意，把cpu都用光了

top

百度查了下，这个好像是木马？ 二话不说，先杀掉这个进程，再命令查看。

kill -9 进程ip
top

cpu正常了，系统也马上流畅了，然后开始看看刚才的kswapd0进程是什么东西引起的。 先用last命令看最近登录过的ip，第一个是我刚登录的，上一个3.10.0-1127.19.1比较可疑

last

检查恶意进程及非法端口

netstat -antp

14.152.49.146的是我机器，YDService查了是腾讯云安全防护，查到ip:45.9.148.99来自荷兰，肯定是有问题了，查了资料，这。。。这是挖矿木马程序!查看下 pid 所对应的进程文件路径。

ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的 pid 号）

kill掉perl的pid，然后去到对应目录删除有关文件。 再查一次kswapd0是否还有文件

find / -name kswapd0

发现在root/.configrc/a/kswapd0还有一个木马文件，要把.configrc这个文夹删掉(这步很重要，不然木马会再次启动)。

然后后查看是否有定时任务

cat /etc/passwd | grep 'bash' | cut -f 1 -d : | xargs -I {} crontab -l -u {}

有几个可疑的定时任务，都清理了

crontab -r -u root

然后看下开机启动项是有没可疑启动项

chkconfig --list

发现是正常没问题的。

最后修改了下服务器的登录密码，到这里才放心一些。