记一次生产环境中挖矿病毒的处理

故障发现：

　　生产环境的服务无法访问，502错误。

将k8s集群中的所有pod内存加起来达不到服务器实际物理内存的四分之一，而后根据top命令查出进程，再根据进程查文件，最后杀掉进程，k8s集群开始恢复正常。

事后措施：修改ssh端口，修改密码，更新ssh免密文件。禁止root用户远程登陆，使用脚本进行防ssh爆破。

总结:

　　问题发现的比较晚，在于这个病毒对系统的危害不是很强，而在对安全性要求高的服务器，可以使用md5来对服务器文件进行保全，在中毒后，可以使用clamav进行感染文件的排查。逐一删除即可。