問題
突然線上服務器全部不可用 。 手機收到無數告警, CPU 使用超過100% , 服務心跳失敗 等。
售後,技術支持,領導電話通通飆來 。 一通慌啊。。。。。
找問題
上服務器,還好服務器還能登錄 。
先找 CPU 問題 , 找到 CPU 使用率超大的線程 。
發現不是應用進程,是陌生進程。 模糊中有點印象,這是一個挖礦工具。艹,果然是被攻擊了。
殺掉進程
由於被攻擊的是 master 服務器,接連所有的 slaver 服務器都被攻擊。
挨個殺掉問題進程。
木馬並不強, 殺掉後沒有再自動起來。 給了一些時間 , 慢慢清理進程。
重啓應用
殺掉進程後 , 先把服務裏的應用進程重啓 。
此時服務不可用已經半個小時了 。 唉,事故報告是不可避免的了。
找到木馬文件
根據進程文件的時間 , 打到最近創建的所有文件。
配合運維,排查木馬文件 , 然後將木馬文件全部刪除。
清理服務器
文件清理掉後,還要排查清理一些配置。
服務器配置,文件配置 , 端口。 系統文件,應用文件是否被修改。
慢慢重裝服務器
要徹底刪除木馬,就重裝系統,重置服務器。
一臺臺,一個個來 。