ClamAV를 사용하여 다음 파일을 스캔하고 찾았습니다.
[root@ip-172-31-23-37 ~]# sudo clamscan --infected --recursive --exclude-dir="^/sys" /
/tmp/.X25-unix/dota3.tar.gz: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/.X25-unix/.rsync/a/kswapd0: Multios.Coinminer.Miner-6781728-2 FOUND
파일과 상위 폴더를 삭제했지만 프로세스는 여전히 실행 중입니다.
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
31107 root 20 0 1304592 1.1g 6960 R 98.0 31.2 44:22.94 clamscan
2474 root 20 0 714000 267428 2896 S 50.0 7.0 0:09.11 kswapd0
28253 1008 20 0 712144 264716 0 S 50.0 7.0 2290:36 kswapd0
그것을 죽여보십시오:
[root@ip-172-31-23-37 /]# ll /proc/2474/exe
lrwxrwxrwx 1 root root 0 Dec 10 16:36 /proc/2474/exe -> /tmp/.X25-unix/.rsync/a/kswapd0 (deleted)
[root@ip-172-31-23-37 /]# killall kswapd0
[root@ip-172-31-23-37 /]# pidof kswapd0
432
[root@ip-172-31-23-37 /]# kill 432
[root@ip-172-31-23-37 /]# kill -9 432
[root@ip-172-31-23-37 /]# pidof kswapd0
432
[root@ip-172-31-23-37 /]# ll /proc/432/exe
ls: cannot read symbolic link /proc/432/exe: No such file or directory
lrwxrwxrwx 1 root root 0 Dec 10 16:37 /proc/432/exe
[root@ip-172-31-23-37 /]# killall kswapd0
[root@ip-172-31-23-37 /]# killall kswapd0
[root@ip-172-31-23-37 /]# killall -9 kswapd0
[root@ip-172-31-23-37 /]# killall -9 kswapd0
여러 번 살해된 후에도 그 과정은 여전히 존재합니다. 강제로 종료하고 다시 반환/실행되지 않도록 하려면 어떻게 해야 합니까?