云学堂中毒导致服务器CPU利用率居高不下降

现场部署了6套云学堂，每个教室一套，各自独立使用。

反馈6个教室全部发现前台云学堂CPU利用率都是40多%，有过重启的记录，还是如此。

一、使用top命令确认后台的CPU使用率情况是否与前台前面显示的一致，接近50%的空闲情况，50%的使用。

二、使用top命令，按键盘P或者shift+p，将进程按照CPU利用率从大到小排序，确认什么进程占用CPU利用率进而不释放。

三、如上图可以看到xinit进程占用CPU利用率，后续键盘小写的c查看进程的文件路径情况。

四、xinit进程初步判断非云学堂环境正常进程，并且是一个脚本在进行运行，初步判断是中毒表现。

五、查看历史操作日志/var/log/operation记录，分析病毒脚本存放位置及相关操作。

六、如上图可以看到于凌晨六点进行下载，重命名，运行脚本等操作，最终脚本存在在/etc目录下。

一、按照操作日志进行一一清理，rm -rf xinit 删除/etc/目录下脚本

二、vi命令修改/etc/host的参数变动。

三、使用命令kill -9 xxx 杀死脚本运行（进程号参照前面top命令查看）。

四、至此CPU利用率正常释放掉，后续仍需加强root密码强度，及物理防火墙加强控制。