挖矿的cnm

　　　早上10点，收到一条qq

　　线上服务器CPU卡死，占用了很多进程，赶紧登陆服务器top查看一下，这个叫md（妈的？）

的程序消耗这么多，qnmd

# find / -name md

　　这个竟然卡死了，出现的都是内核里的。

　　都是些内核里的东西，然后卡在这，我没等下去，决定从其他地方着手。

　　于是就决定查一个pid里运行的是什么东东.

# ps aux|grep 2374

　　我屮艸芔茻，真的查到了，当时急于解决，然后没有截屏。大致内容就是

-a cryptonight -o stratum+tcp://monerohash.com:3333 -u YOUR_WALLET_ADDRESS -p x

　　这下就看到万恶的monerohash.com，这个挖矿网站。

# ps aux|grep cryptonight 

　　输入这个命令查了，全是上面跑的那些md进程

　　并且进程在一直增加，这个应该是计划任务在跑。

　　我就赶紧查了一下crontab

WTF!!!!

　　原来是这个东西在作祟，赶紧删掉。

　　因为那些进程还在跑着，还挺多的，写个shell，全部干掉吧！！！

PROCESS=`ps aux|grep cryptonight|cut -c 12-15`
for i in $PROCESS
do
echo "Kill the GetDeviceData.py process [ $i ]"
kill -9 $i
done

　　终于解决，这次是有人黑进了服务器

# last |grep Feb

　　这个月是二月，查一下二月的登录记录，真的找到一个最有嫌疑的IP，可是这个IP公司内网并没有查到。可能是有人利用春节的时间，在服务器上挂了这个东西搞事情，然后就换了IP，内部没有上网行为管理器，也无法查看这个是那台电脑曾用过的。