应用场景
硬件/整机信息:ARM平台TaiShan服务器
CPU架构:鲲鹏920
OS版本信息:服务器企业版1020d
软件信息:用户服务器上没有安装杀毒防护软件
问题现象
用户日常巡检发现服务器CPU占用非常高,使用top命令查看到某应用程序占用cpu高达99.3%。服务器日常使用非常卡顿:
问题原因
经过检查发现用户侧服务器上没有安装相关杀毒防护软件,以及防火墙处于关闭状态,同时用户单位服务器绑定的是公网IP,服务器处于裸奔状态,此状态的服务器系统容易受到外界病毒感染。
解决方案
1、
根据高负载进程
find / name kdevtmpfsi 找到病毒文件所在位置: 
2、此时不要认为删除掉病毒文件就可以彻底解决问题,经过现场测试删除掉病毒文件后,重启服务器系统后病毒文件依旧存在:
3、
然后通过
ps -axjf | grep kdevtmpfsi或者pstree -aps 32559 (病毒进程PID)之类的指令,查看程序是否有父进程或子进程,病毒进程的父进程或子进程可能就是守护进程,通过找到挖矿病毒的守护进程kinsing并将其杀掉: 
4、删除守护进程文件(如果不删除守护进程,只删除挖矿程序,守护进程会一直重启它):
5、删除挖矿程序的所有文件(此次用户环境中是删除了/var/tmp/目录下文件,请一定注意不要误删除系统数据):
6、杀死当前仍运行的挖矿进程:
7、最重要的一步, 一定要检查crontab定时任务中是否存在和病毒相关联的定时任务,发现的话一定要删除掉病毒相关联任务:
图中示例是在用户侧系统中发现定时任务,将每分钟定时执行一次,远程下载挖矿病毒脚本并运行。
©统信软件技术有限公司。访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务进行转载,须备注:该文档出自【faq.uniontech.com】统信软件知识分享平台。否则统信软件将追究相关版权责任。
