生產Server遭挖礦程序入侵，暴力佔用CPU

區塊鏈的火熱，利益驅使必然導致不少PC或Server，被變成肉雞，執行挖礦程序進行挖礦，進而導致我們正常的程序無法正常。

(Centos7 Server)使用top命令查看伺服器進程運行情況，發現幾個較詭異進程。CPU戰用長期居高不下，系統負載load average值更是高出平時近百倍，且進程運行在一個原本並不存在的用戶上。系統遭入侵是必然的，並且運行著佔用巨大算力的程序，聯想到之前由此阿里雲主機有過一次礦機入侵經歷，想必這次挖礦程序入侵已是大概率事件。

下面要做的就是找出挖礦程序，清除並提升系統安全性。

可以看到三個ld-linux-x86-64命令佔用較多內存，採用相關命令來查找實際的運行文件

#ll /proc/pid -- 可以羅列出相關的文件及目錄

打開其中一個可疑文件pools.txt

可明顯的看到這是一個挖礦程序在運行，裡面顯出了currency:monero7幣種類型（xmr門羅幣），pool_address礦池地址，wallet_address錢包址等等。採用CryptoNight演算法的代表幣種就是Monero，即XMR，門羅。這個是門羅幣老演算法，適合CPU伺服器挖礦，顯卡礦機挖礦。哪怕是低端辦公用的I3處理器也擁有4Mb以上的三級緩存，能夠用於這個演算法計算。

找到挖礦程序運行的所在目錄後，直接清除掉即可。諸如如下目錄：

#rm -rf /tmp/bin

#rm -rf /tmp/.lsb

#rm -rf /tmp/.rpm

刪除掉程序目錄後，中止對應進程

#kill -9 PID PID2 PID3

通過查看非法用戶是何時創建的

同時清除掉運行挖礦程序的用戶

通過date -d命令，可以看出hadoop非法用戶是在2018-07-04日創建出來的。

#userdel -r hadoop //連帶目錄一同刪除

梳理下本次清除挖礦程序的步驟：

1、確定對應的進程，找出挖礦程序的目錄位置

2、清除所有挖礦相關的所有文件，並中止進程

3、清除非法用戶及用戶組

4、更新原有賬戶體系下用戶的密碼強度，安裝強有力的防護軟體，提升系統安全性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！