关于服务器挖矿处理思绪

变乱配景

起因是有开发人员报障，步伐在发布后无法正常运行，一直处于在重启的状态。
一开始我以为是步伐本身的问题，但在查看服务日记后，并未发现步伐有任何错误。
在查看监控系统时，发现该服务器节点CPU 使用率到达了100%，难怪步伐已经无法运行。而且，还发现有这种情况的节点不止一个，整个环境中有好几台服务器都是CPU 100%的情况

一、查看进程

使用Top下令查看进程 ，可以看到CPU的使用率已经跑满。但在进程列表中却未发现有异常进程 。除有个别业务步伐占用CPU较多，但关掉后情况并未改善。

二、查看网络访问

此时，怀疑是机器被入侵了，因此通过下面下令查看网络连接的情况。

1. netstat -an |grep ESTABLISHED

复制代码

在查看几台机器后，发现有问题的机器都有一个外网连接，如下所示。

1. tcp        0      0 10.12.15.7:39410        86.107.101.103:7643     ESTABLISHED
3. 虽然每台机器连接的外网IP地址不同，但端口号统一都是 7643，并且查询地址后发现都是国外地址。
4. 由于相关的服务器并没有国外的业务，因此可以确定被病毒入侵无疑了。

复制代码

三、查看启动项

使用下面下令查看开机启动项

1. systemctl list-unit-files |grep enabled

复制代码

在启动项中，发现有一个名为OOlmeN2R.service 的可疑服务，怀疑就是病毒。（注：该病毒在不同机器的服务名称皆不同，随机的。但特点是乱码，有大小写或数字。）
[code]auditd.service                                enabledautovt@.service                               enabledcrond.service                                 enableddocker.service                                enabledOOlmeN2R.service                              enabled