首先看到2个进程都是systemd 的100% 我都吃惊了。还以为中毒了

然后尝试用命令查看

cd /proc/17627 && ls -la查看CPU占用高的进程正在干什么

cd /proc/17627/fd && ls -la查看CPU在操作什么文件句柄

cat /proc/9650/status查看进程状态

lsof | grep deleted查看当前系统句柄未释放情况

一番排查后 发现 /temp/.system/XXX deleted 无法释放

然后线程 在写/temp/.lock

果断删除rm -rf /temp/.system

rm -rf /temp/.lock

kill -9 systemd 进程pid

然后重启服务器好了

后序，后来发现cpu 又拉起来了 真中毒了，开始杀毒

查看版本号

cat /etc/redhat-release

查看计划任务

crontab -e

* * * * * /tmp/.systemd/-bash > /dev/null 2>&1; 删掉

停止计划任务

systemctl stop crond

清理

把/tmp 和 /root下面的异常目录清理一下

cd /proc/pid号 ls查看cwd命令路径 定位到system 和systemd进程

/usr/bin/-bash

检查启动项目

cd /etc/init.d

看到

sync 服务

删掉病毒服务和文件

病毒脚本内容

```bash

cp -f -r -- /bin/sysdrr /usr/bin/-bash 2>/dev/null

cd /usr/bin/ 2>/dev/null

./-bash -c >/dev/null

rm -rf -- -bash 2>/dev/null

```

service sync stop 先停掉这个服务

lsattr sync

chattr -ia sync || chattr +ia filename

cd /bin

chattr -ia sysdrr

rm -rf sysddr

还要看看/var/spool/cron/crontabs/croot 有没有，都要删除一下

localbash 和chkconfig /etc/rc.d/rc3.d目录都要看看

后记这个病毒定时会启动

systemctl disable crond

find / -name sync

/etc/cron.hourly/sync

/etc/cron.monthly/sync

/etc/cron.weekly/sync

/etc/cron.daily/sync

全部删掉

/core.num 有2个这样的文件 num 是随机数字300多MB

然后就好了

修改ssh root 密码为强密码 改端口号

附加病毒样本下载

http://hn.cdn.aiwcg.cn/%E7%97%85%E6%AF%92.zip