服务器病毒排查记录

金秋送爽，丹桂飘香，在这个已经逝去的秋天，我收获了酸爽。下面，以时间顺序记录此次服务器病毒排查过程。

8月第一周，服务器进入IDC机房，机器通过几台交换机，包括核心交换机，汇聚交换机，局域网交换机直接向外提供服务，用拟人化的手法形容服务器当时状态的话，叫裸奔。所以，处于网线另一端网络高手们，很容易通过工具扫描到这些服务器，而这个时候的服务器连本机的防火墙都没有打开。
防火墙是什么，防火墙是数据进入服务器的第一道关卡，执行的是iptables的策略规则来限制或放行进入服务器数据，其策略规则除了运维人员配置外，一些程序在安装的时候也会自动写入。
8月第二周，我将服务器资源分发给合作单位，提醒合作单位开启服务器本机防火墙，期间，我在某一次登录服务器的时候，发现cpu占用率飙到1900多，问题出现了。通常服务器资源如cpu和内存占用率爆表，大概率程序有问题，如程序死循环，磁盘占用突然暴增，也是程序错误，因为某些程序错误输出栈信息很多，会迅速挤占磁盘。而本次cpu报高是因为被安装挖矿程序了，也就是说中挖矿程序的表象之一就是cpu占用率很高，用top指令查看发现某个程序的CPU占用率很高，而这个奇怪的程序拥有奇怪的程序名称和奇怪的用户，用crontab -u 用户名称 -l就看到了下载挖矿程序被写入了定时任务，于是kill 进程，清理程序所在，清空并重启定时任务可暂时解决挖矿程序被入侵。