今天有個(gè)法國(guó)vps服務(wù)器客戶說，他的服務(wù)器有個(gè)特殊的進(jìn)程，于是我登陸服務(wù)器進(jìn)行排查。

登陸云服務(wù)器：系統(tǒng)centos7.5

第一步使用top查看資源情況。

top

可以清楚的看到第一行：USER:test  cpu飆至384%，進(jìn)程名字：.dhpcd

首先我跟開發(fā)的進(jìn)行核實(shí)，是否有創(chuàng)建test用戶，結(jié)果反饋沒有，我問是否安裝有.dhpcd服務(wù)，開發(fā)也說沒有，作為一個(gè)運(yùn)維人員我肯定知道裝了哪些服務(wù)。

這個(gè)服務(wù)明顯不是我公司安裝的，test用戶也是不自己創(chuàng)建的。

ps -ef | grep .dhpcd    ##進(jìn)程號(hào)是2595

ls -l /proc/2595/exe     ##查看服務(wù)的位置

使用kill結(jié)束掉該服務(wù)。

kill -9 2595

結(jié)束掉此進(jìn)程后，刪除.dhpcd的文件

cd /home/test  

rm -rf .dhpcd   ###刪除服務(wù)文件

經(jīng)過排查test用戶不是我們自己創(chuàng)建的，黑客利用手段創(chuàng)建的test用戶，通過test用戶植入.dhpcd,導(dǎo)致cpu飆升。

確定test用戶不是我們自己創(chuàng)建的以后，我們將test用戶刪除，避免下次在通過test植入病毒，木馬。

再次使用top查看。

已經(jīng)被干掉了，需要觀察一段時(shí)間。

可以在使用crontab -l查看是否還有被植入的任務(wù)計(jì)劃，黑客慣用的手段。