1.原由
公司有一台服务器,上面部署着一套web程序,因为很少出问题,所以很少查看,最近老是频繁停止服务。
经过观察top命令上的CPU参数。发现CPU达到百分之百,一开始以为运行程序过大,导致CPU使用率过高。
决定增加CPU核心数,当在增加完CPU核心后,发现CPU并没有缓解,反而又变成百分之百,开始怀疑被植入挖矿程序。
top命令,shift + C 按照CPU使用率排序,发现有一个ublc的程序,CPU有的使用率超过百分之两百。
经过与开发人员确认,并非业务系统运行的程序。因此确认为挖矿程序。
2.解决
停止ubcl程序。
kill -9 `ps -ef|grep ublc|grep -v "grep"|awk \'{print $2}\'`
查找ubcl程序文件,并删除。
find / -name ublc rm -rf ublc
删除不认识的系统用户,并将用户设置为nologin。
userdel fs
删除不认识公钥文件。
vim /root/.ssh/authorized_keys 如果无法删除,可能是黑客修改了程序权限。 lsattr /root/.ssh/authorized_keys #查看权限 chattr -i /root/.ssh/authorized_keys #改权限
删除可疑的计划任务。
crontabl -e 如果删除后又重新生成。 rm -rf /var/spool/cron/root
删除后,发现没过几分钟ublc程序又运行了,查看ublc文件又生成了,排查后发现ublc目录下,有一个可疑的文件,将其删除问题解决。
rm -rf /etc/migrations
Zabbix监控系统显示
再次发生时,将挖矿程序删除执行权限。
chmod 000 ublc