被攻击后排查的过程

1.今天，看到nagios上一台装有kvm的虚拟机总是报load warning，以为是现在很多同事正在上面使用虚拟机，就没在意，但是下班后却依然看到这个告警还在。

2.到物理机上用top查看，发现有一个command :qemu-kvm 还在运行，而且占用80%的cpu，我就ps aux|grep $pid,看到一台虚拟机主机名，在cloudstack搜这台虚拟机并且进入去看

果然有一个进程，然虚拟机cpu飙到100%,