生产Server遭挖矿程序入侵，暴力占用CPU

区块链的火热，利益驱使必然导致不少PC或Server，被变成肉鸡，执行挖矿程序进行挖矿，进而导致我们正常的程序无法正常。

(Centos7 Server)使用top命令查看服务器进程运行情况，发现几个较诡异进程。CPU战用长期居高不下，系统负载load average值更是高出平时近百倍，且进程运行在一个原本并不存在的用户上。系统遭入侵是必然的，并且运行着占用巨大算力的程序，联想到之前由此阿里云主机有过一次矿机入侵经历，想必这次挖矿程序入侵已是大概率事件。

下面要做的就是找出挖矿程序，清除并提升系统安全性。

可以看到三个ld-linux-x86-64命令占用较多内存，采用相关命令来查找实际的运行文件

#ll /proc/pid -- 可以罗列出相关的文件及目录

打开其中一个可疑文件pools.txt

可明显的看到这是一个挖矿程序在运行，里面显出了currency:monero7币种类型（xmr门罗币），pool_address矿池地址，wallet_address钱包址等等。采用CryptoNight算法的代表币种就是Monero，即XMR，门罗。这个是门罗币老算法，适合CPU服务器挖矿，显卡矿机挖矿。哪怕是低端办公用的I3处理器也拥有4Mb以上的三级缓存，能够用于这个算法计算。

找到挖矿程序运行的所在目录后，直接清除掉即可。诸如如下目录：

#rm -rf /tmp/bin

#rm -rf /tmp/.lsb

#rm -rf /tmp/.rpm

删除掉程序目录后，中止对应进程

#kill -9 PID PID2 PID3

通过查看非法用户是何时创建的

同时清除掉运行挖矿程序的用户

通过date -d命令，可以看出hadoop非法用户是在2018-07-04日创建出来的。

#userdel -r hadoop  //连带目录一同删除

梳理下本次清除挖矿程序的步骤：

1、确定对应的进程，找出挖矿程序的目录位置

2、清除所有挖矿相关的所有文件，并中止进程

3、清除非法用户及用户组

4、更新原有账户体系下用户的密码强度，安装强有力的防护软件，提升系统安全性。

扩展阅读：

• 学习新技术时你应当掌握的『最少必要知识』

• 基于SpringCloud的Microservices架构实战案例

• 基于SpringCloud的某支付产品微服务构架拆解

• 如何从传统软件开发顺利过渡到互联网技术开发

• 你是『眼高手低』的程序员吗

• 怎么定位自己在团队里的角色

• 解决问题的正确姿势

• 你的经历不一定都能变成经验

• 那些会阻碍程序员成长的细节[7]

• 提高你的被动收入（睡后收入）

• 认识区块链，认知区块链

长按2秒，识别二维码，关注我。

关注程序员成长