centos 7
记一次阿里云服务器被被种挖矿程序解决的过程
1、原因
偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下
2、查看进程
[root@izwz94xp1kwkcahxd1vey6z /]# top
发现有一个exin的进程cpu使用率高达99%
3、看看是个什么东西
exin的pid为3363
[root@izwz94xp1kwkcahxd1vey6z /]# cd /proc/3363
[root@izwz94xp1kwkcahxd1vey6z 3363]# ll
发现是在exe -> /usr/bin/exin目录下
4、查看防火墙信息
[root@izwz94xp1kwkcahxd1vey6z 3363]# iptables -L -n -v
发现防火墙被篡改增加了很多国外的未知ip
此时其实问题已经找到了,这个进程就是挖矿程序,先kill掉
[root@izwz94xp1kwkcahxd1vey6z 3363]# kill -9 3363
不过一般这种挖矿程序都不会这么轻易被干掉的,我们继续
5、查看ROOT定时任务
[root@izwz94xp1kwkcahxd1vey6z 3363]# crontab -l
MAILTO=''
*/19 * * * * /etc/cron.hourly/agetty >/dev/null 2>&1
果然发现了一条定时任务
可以看到是每隔19分钟执行一次脚本,脚本的内容在/etc/cron.hourly/agett