linux被当矿机排查案例

 

 

 

1、发现服务器变的特别卡，正常服务运行很慢。

到服务器上查询一番发现top下发现     bashd的进程占用100%CPU了。

find /-name bashd*  //第一次查询文件占用目录
kill -9 pid(bashd)  //删除bashd进程

　　

2、赶时间处理删除进程   kill -9 PID(bashd的PID)。

3、第二天发现新程序占用cpu又跑满了，这次修改了名字：kworkerds。服务

4、推理应该是服务器密码太简单了，随即在阿里云上修改远程密码，重启服务。kill -9 pid(kdevtmpfsi)

5、重启发现CPU又满了，查询

ps -aux --sort=-pcpu|head -10   //查看十个最大占用cpu的程序
cat /etc/crontab   //查看定时任务
crontab –l
cat /etc/rc.loacl  //查看开机任务

cat /root/.ssh/authorized_keys //查看免密登陆

 

 

6、查询到免密登陆异常数据，所以就删除数据，反思最近一段时间服务器做了什么操作，顺便再百度了一下。

7、发现redis被攻击最多，修改了远程地址，重启服务器镜像。（发现服务器没有cpu满了。）