前言

因服務(wù)器無意間CPU高達96%，訪問很慢；在排查問題的時候竟然發(fā)現(xiàn)了服務(wù)器被掛上了挖礦程序；
1、挖礦程序的名稱列表：
networkservice
sysguard
update.sh
config.json
sysupdates
kow930kd
kow709kd

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),深澤企業(yè)網(wǎng)站建設(shè),深澤品牌網(wǎng)站建設(shè),網(wǎng)站定制,深澤網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,深澤網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

2、挖礦程序的日志名稱列表
101_og
275_og
2_og
630og
sess*****

3、處理方法
1) 使用top方法找到所有可疑文件進程的PID號
2) #kill -9 $PID
3) 找到文件所在目錄，刪除所有可執(zhí)行文件 #ls -l /proc/$PID/exe
4) #rm -rf networkservices 【分別刪除,有多少刪除多少】
5) 刪除/root/.ssh/authorized_keys #rm -rf /root/.ssh/authorized_keys
6) 刪除/var/spool/cron/daemon #rm -rf /var/spool/cron/daemon
7) 如果有系統(tǒng)命令被篡改，把命令改回原來狀態(tài)
#mv /bin/wge /bin/wget
#mv /bin/cur /bin/curl
上述命令根據(jù)服務(wù)器情況修改
8) 查看iptables防火墻
挖礦程序修改的命令如下
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
上述端口在防火墻中查看是否存在，根據(jù)情況刪除規(guī)則鏈；