挖矿的cnm
早上10点,收到一条qq
线上服务器CPU卡死,占用了很多进程,赶紧登陆服务器top查看一下,这个叫md(妈的?)
的程序消耗这么多,qnmd
# find / -name md
这个竟然卡死了,出现的都是内核里的。
都是些内核里的东西,然后卡在这,我没等下去,决定从其他地方着手。
于是就决定查一个pid里运行的是什么东东.
# ps aux|grep 2374
我屮艸芔茻,真的查到了,当时急于解决,然后没有截屏。大致内容就是
-a cryptonight -o stratum+tcp://monerohash.com:3333 -u YOUR_WALLET_ADDRESS -p x
这下就看到万恶的monerohash.com,这个挖矿网站。
# ps aux|grep cryptonight
输入这个命令查了,全是上面跑的那些md进程
并且进程在一直增加,这个应该是计划任务在跑。
我就赶紧查了一下crontab
WTF!!!!
原来是这个东西在作祟,赶紧删掉。
因为那些进程还在跑着,还挺多的,写个shell,全部干掉吧!!!
PROCESS=`ps aux|grep cryptonight|cut -c 12-15` for i in $PROCESS do echo "Kill the GetDeviceData.py process [ $i ]" kill -9 $i done
终于解决,这次是有人黑进了服务器
# last |grep Feb
这个月是二月,查一下二月的登录记录,真的找到一个最有嫌疑的IP,可是这个IP公司内网并没有查到。可能是有人利用春节的时间,在服务器上挂了这个东西搞事情,然后就换了IP,内部没有上网行为管理器,也无法查看这个是那台电脑曾用过的。