定期监控是否存在之前的挖矿程序，并完成清理

说明

在阿里云服务器上发现挖矿程序，大概率是因为在安全组上开启了某些端口导致。黑客利用某些端口的漏洞，上传了挖矿程序，并设置了定时任务。

对于在一个安全组内的服务器，网络内部是互通的。如果发现某些服务出现：Connection refused（连接拒绝）这样的报错，可以开启防火墙，然后开通拒绝的端口即可。

（1）编写一个脚本

vi  clean_host.sh  

#!/bin/bash
pid_cpu=`ps aux|grep -v PID|sort -nr -k3|head -n1 | awk '{print $2,$3,$11}'`
pid=`echo $pid_cpu |awk '{print $1}'`
cpu=`echo $pid_cpu |awk '{print $2}'`
cmd=`echo $pid_cpu |awk '{print $3}'`

if [ `echo "$cpu >= 40" | bc` -eq 1 ];then
   echo "PID CPU(%) Mem(%) CMD"
   echo $pid_cpu
   if [[ $cmd =~ "sendmail" ]];then
      crontab -u  hadoop -r
      rm -rf /var/tmp/.22
      kill -9  $pid
   fi
else
   echo "cpu is normal."
fi

 

（2）设置定时任务

crontab -e  

* * * * *  /root/clean_host.sh >/dev/null 2>&1