背景:并不是我公司的服务器被挖矿,是合作伙伴的有一台服务器的cpu连续3天被吃满,所以让我帮忙看下,因为之前也没有处理过类似的挖矿事件,所以记录一下。
首先登录服务器查看相关资源使用情况:
好家伙,这资源已经被占的不要不要的了。
在这里插入图片描述

通过观察可以看到top显示启动了很多不知道的服务,tssc用户启动的,还有esuser启动的,而他们的command都是bash,还是第一次看到这种情况。于是我单独查看某个pid号,就一个bash命令。
在这里插入图片描述
于是我查看了下定时任务,看看有没有定时执行的脚本,发现这些是什么玩意!赶紧删除了
在这里插入图片描述
到这个时候,看了下阿里云的报警信息,如下图:
在这里插入图片描述
看起来应该是被植入了挖矿程序,于是赶紧将此文件下的所有内容删除
在这里插入图片描述
但是删除之后top中的进程都还在呢,得全部kill掉,命令如下:

[esuser@iZ2ze5f6uou33ntud78dr5Z ~]$ ps -ef |grep esuser |grep bash  |grep -v pts/2 |awk '{print $2}' |xargs kill

经过几分钟之后发现系统负载已经降下来了
在这里插入图片描述
虽然操作没有几步,也不难,但还是记录一下第一次遇到这种情况我执行的一些操作,以便下次再遇到的时候会知道怎么一步一步排查