測試伺服器看到 ld-linux-x86-64的程序佔用cpu極高，user 是 mysql 的。
測試環境不會有這麼高的mysql負載，並且記憶體佔用基本為0。區塊鏈技術盛行，讓人不得不懷疑被抓去做礦機了。

1. 初步排查

[[email protected] /]$ sudo find -name "ld-linux*"  #找到ld-linux-x86-64名字的檔案
[sudo] exchange 的密碼： #輸入密碼
./var/tmp/.ssh/stak/ld-linux-x86-64.so.2  #這個檔案很可疑，.ssh是在使用者目錄下的，下面那個路徑才是正常的路徑
./usr/lib64/ld-linux-x86-64.so.2
./usr/share/man/man8/ld-linux.so.8.gz
./usr/share/man/man8/ld-linux.8.gz
 

通過簡單分析，./var/tmp/.ssh/stak/ld-linux-x86-64.so.2應該是黑客模擬系統的檔名稱，並且還放在.ssh這個隱藏資料夾下。黑客也有可能寫其他跟系統類似的檔案，也會放在其他使用者比較熟悉的資料夾名稱下，混淆視聽。
2. 確認入侵
當時刪的及時，沒注意儲存截圖。在.ssh資料夾下某個資料夾中有個 config.json檔案。有句 “pool_address” : “101.99.84.65:80”，檢視IP是馬來西亞的，基本確定是被拉去做礦工了。

[[email protected] 5101]$ sudo rm -rf .ssh #刪除所有的檔案並刪除該程序
 

主要是伺服器的22埠對外網開放，並且密碼很簡單。設定複雜密碼或者22埠不開放可以控制這一情況。