1、初步检查:由于数据库postgres账户通过默认端口号被破解然后启动了病毒
2、第一次处理
postgres账户下的定时器及定时器对应的文件清除
查找进程对应文件的位置的指令 :sudo ls -l /proc/进程号(PID)/exe
3、第二次处理
首先进程处理
a、监控kthreaddi程序,一旦启动就删除
b、期间发现一直重复出现
4、第三次处理
怀疑一直有一个程序启动kthreaddi程序,
通过top | grep postgres指令发现一个可疑的vzhkcu程序
果然当我kill掉kthreaddi程序进程时,只要vzhkcu程序一启动,kthreaddi程序就立马启动
故kill掉vzhkcu后继续观察,未发现对应程序启动,暂时病毒被排除
后续:还需要进行后门检查,检查是否存在密钥填充等情况让黑客可以通过密钥登陆系统