.dhpcd导致cpu飙升问题

因公司有业务服务器在阿里云上面，阿里云后台报警说，“有恶意程序在挖矿”，引起了高度重视，于是我登陆服务器进行排查。

登陆云服务器：系统centos7.5

第一步使用top查看资源情况。

top

可以清楚的看到第一行：USER:test  cpu飙至384%，进程名字：.dhpcd

首先我跟开发的进行核实，是否有创建test用户，结果反馈没有，我问是否安装有.dhpcd服务，开发也说没有，作为一个运维人员我肯定知道装了哪些服务。

这个服务明显不是我公司安装的，test用户也是不自己创建的。

ps -ef | grep .dhpcd    ##进程号是2595

ls -l /proc/2595/exe     ##查看服务的位置

使用kill结束掉该服务。

kill -9 2595

结束掉此进程后，删除.dhpcd的文件

cd /home/test  

rm -rf .dhpcd   ###删除服务文件

经过排查test用户不是我们自己创建的，黑客利用手段创建的test用户，通过test用户植入.dhpcd,导致cpu飙升。

确定test用户不是我们自己创建的以后，我们将test用户删除，避免下次在通过test植入病毒，木马。

再次使用top查看。

已经被干掉了，需要观察一段时间。

可以在使用crontab -l查看是否还有被植入的任务计划，黑客惯用的手段。

  

 

转载于:https://www.cnblogs.com/sxshaolong/p/11039190.html