1.今天,看到nagios上一台装有kvm的虚拟机总是报load warning,以为是现在很多同事正在上面使用虚拟机,就没在意,但是下班后却依然看到这个告警还在。
2.到物理机上用top查看,发现有一个command :qemu-kvm 还在运行,而且占用80%的cpu,我就ps aux|grep $pid,看到一台虚拟机主机名,在cloudstack搜这台虚拟机并且进入去看
果然有一个进程,然虚拟机cpu飙到100%,
3.后面经过一系列处理,终于把这个挖矿木马给除掉