- 系统
Ubuntu 16.04 64位
项目部署在阿里云服务器上,阿里云后台报警有恶意程序在“挖矿”,登录阿里云后台喵下,cpu持续高达50%。
- 查看资源情况
top
1 | PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND |
看到一个名为.dhpcd的进程,进程号为2628,cpu飙至384%,所属用户为test。
- 查看该服务的位置
ls -l /proc/2628/exe
1 | lrwxrwxrwx 1 test test 0 Dec 16 17:37 /proc/2628/exe -> /home/test/.dhpcd |
- 删除此进程
1 | kill -9 2595 |
- 删除.dhpcd文件
1 | rm /home/test/.dhpcd |
- 删除test用户
1 | userdel -r test |
黑客利用手段创建的test用户,通过test用户植入.dhpcd,导致cpu飙升,为避免下次在通过test植入挖矿、病毒、木马等程序,将test用户删除。