记一次CentOS被挖矿的处理
一天,突然发现有个进程占用CPU很厉害,使用的finalshell查看进程,很容日找到这个进程信息如下
./trace --donate-level 1 --keepalive --no-color --cpu-priority 5 -o xmr.f2pool.com:13531 -u 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4.doc -k --coin monero
使用 pstree -up
命令可以查看整个进程树
将进程树信息复制到文本,搜索该进程号,就能找到该进程的父进程
我这边发现该进程的父进程是dockerd , 于是 docker ps
查看容器信息,发现多了一个alpine容器,我自己根本没有启动过该容器,于是将其删除掉,CPU 就降下来了
docker rm -f [容器ID]
不知道该容器病毒是怎么进来创建的,有遇到同样问题的伙伴可以评论处分享一下。
ps:最近我在服务器上用docker装过harbor,不知跟这个有没有关系。