Linux服务器集群中挖矿病毒清理过程

起因

这几天我们测试的服务器集群CPU整体使用率飙升，一开始因为我们在做并行计算测试所以没有在意这个问题，直到昨天我们的管理服务器root用户密码被更改才意识到已经被hack了。

幸好我们使用的虚拟机系统，修改root密码很方便，但还是要提醒运维人员防范针对ssh服务的端口扫描，如果要把ssh使用的端口暴露到外网，尽量设置复杂的密码。

清理

下面介绍一下恶意程序清理过程。

首先使用top命令查看到异常进程：

   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
 31579 root      20   0  820060  19168   3024 S 687.5  0.0  78:08.53 ld-linux-x86-64
 14768 root      20   0   16.2g   2.3g  22468 S   6.2  1.8  10:54.95 java

这个ld-linux-x86-64很明显不是系统进程，我们通过搜索得知这是一个伪装的挖矿程序。

使用kill -9杀掉这个进程，然后我们查看一下root用户的周期任务设置。

使用crontab -l我们可以看到恶意程序所在的目录及周期任务：

* * * * * /root/secure/upd >/dev/null 2>&1

使用crontab -r清除掉所有的周期任务。

然后去到root目录，清除掉病毒文件目录/root/secure/，恶意进程就不会死灰复燃了。