今天有個法國vps服務器客戶說，他的服務器有個特殊的進程，于是我登陸服務器進行排查。

登陸云服務器：系統(tǒng)centos7.5

第一步使用top查看資源情況。

top

可以清楚的看到第一行：USER:test  cpu飆至384%，進程名字：.dhpcd

首先我跟開發(fā)的進行核實，是否有創(chuàng)建test用戶，結果反饋沒有，我問是否安裝有.dhpcd服務，開發(fā)也說沒有，作為一個運維人員我肯定知道裝了哪些服務。

這個服務明顯不是我公司安裝的，test用戶也是不自己創(chuàng)建的。

ps -ef | grep .dhpcd    ##進程號是2595

ls -l /proc/2595/exe     ##查看服務的位置

使用kill結束掉該服務。

kill -9 2595

結束掉此進程后，刪除.dhpcd的文件

cd /home/test  

rm -rf .dhpcd   ###刪除服務文件

經(jīng)過排查test用戶不是我們自己創(chuàng)建的，黑客利用手段創(chuàng)建的test用戶，通過test用戶植入.dhpcd,導致cpu飆升。

確定test用戶不是我們自己創(chuàng)建的以后，我們將test用戶刪除，避免下次在通過test植入病毒，木馬。

再次使用top查看。

已經(jīng)被干掉了，需要觀察一段時間。

可以在使用crontab -l查看是否還有被植入的任務計劃，黑客慣用的手段。