问题
突然线上服务器全部不可用 。 手机收到无数告警, CPU 使用超过100% , 服务心跳失败 等。
售后,技术支持,领导电话通通飙来 。 一通慌啊。。。。。
找问题
上服务器,还好服务器还能登录 。
先找 CPU 问题 , 找到 CPU 使用率超大的线程 。
发现不是应用进程,是陌生进程。 模糊中有点印象,这是一个挖矿工具。艹,果然是被攻击了。
杀掉进程
由于被攻击的是 master 服务器,接连所有的 slaver 服务器都被攻击。
挨个杀掉问题进程。
木马并不强, 杀掉后没有再自动起来。 给了一些时间 , 慢慢清理进程。
重启应用
杀掉进程后 , 先把服务里的应用进程重启 。
此时服务不可用已经半个小时了 。 唉,事故报告是不可避免的了。
找到木马文件
根据进程文件的时间 , 打到最近创建的所有文件。
配合运维,排查木马文件 , 然后将木马文件全部删除。
清理服务器
文件清理掉后,还要排查清理一些配置。
服务器配置,文件配置 , 端口。 系统文件,应用文件是否被修改。
慢慢重装服务器
要彻底删除木马,就重装系统,重置服务器。
一台台,一个个来 。