一、前言

本周發(fā)現(xiàn)服務(wù)器很卡，明明什么實(shí)驗(yàn)也沒跑（GPU是空的），然后重啟后使用top指令后發(fā)現(xiàn)在自己賬號(hào)下有個(gè)進(jìn)程占用了所有的的cpu資源，嘗試使用kill命令終止該進(jìn)程后發(fā)現(xiàn)幾秒鐘進(jìn)程又重啟了，資源一直處于耗盡狀態(tài)，至此發(fā)現(xiàn)該進(jìn)程是惡意進(jìn)程，網(wǎng)上搜索后發(fā)現(xiàn)是一個(gè)挖礦的程序。知道問題所在，那就好辦了。

二、解決辦法

想法：先刪除源程序，然后刪除腳本，然后刪除定時(shí)任務(wù)，最后kill所有的惡意進(jìn)程（因?yàn)橹苯觡ill后會(huì)進(jìn)程還會(huì)重啟）。

1. 阻斷挖礦程序鏈接外網(wǎng)服務(wù)。

• 查看/etc/hosts的內(nèi)容是否被惡意篡改
• 查看發(fā)現(xiàn)該文件增加了下述兩行代碼，將其刪除：

• 在/etc/hosts里增加一條

127.0.0.1 g.upxmr.com

阻斷挖礦程序鏈接外網(wǎng)下載可執(zhí)行文件，除非把服務(wù)器網(wǎng)斷了。

2. 刪除定時(shí)任務(wù)及文件

使用 crontab -l 查看當(dāng)前用戶的定時(shí)程序，然后確認(rèn)是惡意的定時(shí)程序，使用 crontab -r刪除。

一般情況使用crontab -l是看不到的挖礦的程序，需要查看/etc/crontab。但是本處使用crontab –l發(fā)現(xiàn)了挖礦腳本所在位置，刪除后再確認(rèn)/etc/crontab文件內(nèi)容無修改。 

• 正常的/etc/crontab文件內(nèi)容如下：

3. Kill掉所有的挖礦程序。

三、后續(xù)

長時(shí)間觀察發(fā)現(xiàn)CPU的資源占用并未升高，說明問題是初步解決了，但是根源還沒找到，因?yàn)槲覀兊姆?wù)都是部署在內(nèi)網(wǎng)的，挖礦程序是從哪個(gè)入口侵入的還有待排查。

IP登錄排查

• 登錄日志查看：

last -f /var/log/wtmp 
last -f /var/log/wtmp.1

結(jié)合.bash/bash指令的創(chuàng)建日期查找到當(dāng)天登錄的用戶信息，然后結(jié)合登錄的IP分析，就能知道是內(nèi)部人員盜用還是被外面的人當(dāng)?shù)V機(jī)了。

當(dāng)然也不排除是內(nèi)部人員將登錄IP替換的可能性。然后通過IP可分析是從哪里入侵的了。

四、總結(jié)

無論什么賬號(hào)，千萬不能用偌密碼，不然后果很嚴(yán)重！

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。