kswapd0挖矿病毒的发现与清除BobAnkh​清华大学/网文爱好者/游戏爱好者/猫猫爱好者 26人赞同了该文章写下这篇博客的原因是实验室的服务器在安装docker之后不幸感染上了挖矿病毒，便将发现与清除的方法记录于此，如有错漏，恳请指正本文同样发于本人的bl

top查看发现kswapd0占用异常高有一个陌生的用户comp先删除authorized_keys中陌生的key查看root的计划任务(发现没异样)crontab-l查看该用户的计划任务sudo-ucompbash-c'crontab-l'发现删除,顺便删除crontab里面使用的文件和文件夹删除comp用户的进程查看

 CPU使用率较低但负载较高问题描述Linux系统没有业务程序运行，通过 top 观察，类似如下图所示，CPU很空闲，但是loadaverage却非常高，如下图所示。处理办法loadave

top命令看到两个进程cpu使用率高达798%，分别是kswapd0 --myftp用户kswapd0 --123用户一查之下，发现这是挖矿病毒。 另一次也是cpu占用超高，杀死进程后不久就重启，

1、top查看资源使用情况看到这些进程一直在变化，但是，主要是由于kswapd0进程在作怪，占据了99%以上的CUP，查找资料后，发现它就是挖矿进程 2、排查kswapd0进程执行命令netsta