中毒始末
gitlab服务经常用起来比较卡,通过排查发现cpu使用率持续较高,排查后发现中毒。为了保证排查准确度,需要结合top/ps/netstat来观察,单纯某个命令不一定能发现问题所在。
已通过top排查,并不能很好显示问题,继续查看监听情况
可以看到异常进程相当多,而且名字怪异,再继续根据得到的名字搜索
根据连接的ip可以知道是进入了国外矿池,基本上就是中了挖矿病毒了
挖矿病毒不可能只启动一个进程就完事了,必须要做自启的,所以需要检查每个用户的crontab任务还有/etc/cron.d/下的自动任务
根据进程号获取到了进程文件还有脚本等,但很多时候会分布多个目录做备用,要清理的话最好找出所有文件,可以根据md5搜索吧
查看相关的脚本吧,会下载挖矿程序等
评论