今天是11月10號，正在忙著做雙十一凌晨流量衝擊的加固工作，登入xx伺服器的時候無意間發現CPU的使用率達到了70%，按常理分析，xx伺服器資源不會使用這麼高的，ps 排序一下程序資源使用，如下圖：

果然，有一個高負載的程序“-sh”，佔用CPU達到了599%， 據經驗分析，這絕逼又是一個病毒程式，一想到這整個人都興奮起來了，當即著手查一下；

• 查監控歷史
  
  監控的閾值設定的90%，70%一直沒觸發報警

• 查程序監聽的埠：
  netstat -anp|grep 28622
  
  監聽的35426埠向外通訊

• 查連線地址
  通過35426埠，與這個美國的IP通訊，埠80，肯定是網頁，用瀏覽器開啟瞜一眼
  

  
  果然是個挖礦的網站，那這個程式就是挖礦病毒了，不多說了，準備清理。

• 查啟動方式
  crontab -l
  
  這裡有一條every moment計劃任務

• 查檔案路徑
  檔案路徑在定時任務中就很明顯了
  

• 查日誌
  通過日誌可以看出是幾個美國的IP，不斷嘗試登入，進行root密碼猜解，在10月29號爆破成功。

• 檢查到此為止，開始處理挖礦病毒

1. 先限制遠端登入
   以免處理程序時黑客再次登入直接破壞我的系統，

1） 禁用root遠端登入：修改/etc/ssh/sshd_config 修改PermitRootLogin yes 為 no ；
2） 新建普通使用者—加強普通使用者密碼複雜度—更改root使用者密碼複雜度；
3） 限制使用者登入密碼錯誤次數 /etc/pam.d/login 第一行新增auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

3. 刪除計劃任務
   刪除crontab中的計劃任務
4. 殺程序
   kill -9 28622
5. 刪檔案
   刪除計劃任務中指定的目錄
6. 再檢查一下程序
   
   沒有再出現高負載程序，暫時先收工。

總結：這次被入侵主要是遠端登入沒有做策略，被輕易破解root密碼；
當然該黑客把CPU的資源使用把握的恰到好處，使CPU資源一直穩定在70%的狀態挖礦，一般的挖礦病毒會完全佔用CPU資源，監控立刻就會報警，這次如果沒有全面顯示監控，根本不會察覺，將會一直潛伏著。。。
看來需要優化一下監控報警策略。