记一次挖矿程序处理 firstpress

现象

32核的机器，一般CPU 100%；没什么网络流量。

处理流程

1. top或者htop查找异常进程
2. pstree -p 通过进程树找到异常进程的父进程的PID
3. 查看有无计划任务 crontab -l
4. 查看是否有守护进程 systemctl status PID
   可以看到
   • 守护进程的目录是 /run/systemd/system/session-549502.scope.d
   • 启动文件是/usr/bin/dxhxzk /usr/bin/firstpress
5. 清除这些文件并杀死进程

参考

• 守护进程的位置 https://www.xncoding.com/2016/06/07/linux/systemd.html
• 系统级别审核日志 /var/log/audit/audit.log 主要用来记录安全信息，用于对系统安全事件的追溯
  • https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files
  • https://www.ibm.com/developerworks/cn/linux/l-lo-use-space-audit-tool/index.html