【安全系列--处理挖矿】

现象：我们云上waf提示有台服务器存在挖矿行为

解决思路：

1、查看服务器的进程情况

top

发现服务的CPU使用率非常高

2、使用性能分析工具perf查看占用的cpu进程

sudo apt install linux-tools-common

发现一些kernel进程存在异常

3、使用find查一下这个可疑的进程是什么文件

find / -name kernel

发现一个可疑文件/etc/system/kernel

4、处理方法

#删除这个文件
rm -rf /etc/system/kernel

5、查看下是否还存在这个程序文件

5.1查看这个文件是否被隐藏了

ls -al

5.2查看这个程序是否有计划任务

1、进入/etc/cron.d这个目录查看
2、crontal -l 这个只能查看当前用户的计划任务

5.3查看存放开机自启的可疑文件

1、/etc/profile.d
2、.bashrc
3、/etc/profile
4、.bash_profile
5、/etc/init.d

5.3查看临时目录是否存在可疑文件

ll -a /tmp

5.4 查看是否存在可疑的service启动文件

find / -name *service