线上服务期cpu高达60%,服务器配置32个逻辑cpu,日常cpu最多也就10%左右
开始没有怀疑是挖矿进程,毕竟cpu没有飙到100,还能让我顺利登录服务器瞅一瞅,这不符合挖矿大佬的一贯作风啊
本人虽说不是专业运维,前后也遇到过四五种漏洞导致的挖矿进程(jenkins,xxlJob,redis等)
既然漏洞的大门是我打开的,那就要由我来关上
中了挖矿病毒,只杀挖矿进程是一定杀不干净的,必须找到该挖矿病毒是从哪个漏洞进来的,
找到是服务器本身组件的漏洞还是部署的服务中携带的漏洞
漏洞修复后,再把相关进程及文件清掉,挖矿病毒才会被消灭干净,
当cpu彪高影响线上,可以先把挖矿进程kill,把cpu降下来,再排查问题出在哪
我遇到过的几种挖矿病毒都会改写crontab定时任务,redis的会把定时任务写在redis数据库中
开始排查时,所有挖矿病毒的文件都在我们的后台管理springboot jar包同目录下,根据这一特征,我们升级了springboot内置tomcat版本,修复了tomcat低版本的漏洞,可好景不长,死灰复燃,又经排查,发现shiro权限管理低版本有反序列化漏洞(shiro-550),通过该漏洞可实现上传文件到特定目录下,没错,就是你了,后升级了shiro至最新版本,清掉挖矿进程,cpu也降下来了
https://www.4hou.com/posts/MN3B
https://mp.weixin.qq.com/s/kZExlJ62LVPOlufkurhBjw