因公司有业务服务器在阿里云上面,阿里云后台报警说,“有恶意程序在挖矿”,引起了高度重视,于是我登陆服务器进行排查。
登陆云服务器:系统centos7.5
第一步使用top查看资源情况。
top
可以清楚的看到第一行:USER:test cpu飙至384%,进程名字:.dhpcd
首先我跟开发的进行核实,是否有创建test用户,结果反馈没有,我问是否安装有.dhpcd服务,开发也说没有,作为一个运维人员我肯定知道装了哪些服务。
这个服务明显不是我公司安装的,test用户也是不自己创建的。
ps -ef | grep .dhpcd ##进程号是2595
ls -l /proc/2595/exe ##查看服务的位置
使用kill结束掉该服务。
kill -9 2595
结束掉此进程后,删除.dhpcd的文件
cd /home/test
rm -rf .dhpcd ###删除服务文件
经过排查test用户不是我们自己创建的,黑客利用手段创建的test用户,通过test用户植入.dhpcd,导致cpu飙升。
确定test用户不是我们自己创建的以后,我们将test用户删除,避免下次在通过test植入病毒,木马。
再次使用top查看。
已经被干掉了,需要观察一段时间。
可以在使用crontab -l查看是否还有被植入的任务计划,黑客惯用的手段。