某用戶云服CPU 100%爆卡,進入系統執行top后發現一個名為 httpd的進程很可疑。
在Linux 系統下,一般安裝ngnix 是不會有 httpd文件的。
即便是apache 或者 lamp 有httpd文件生成,也不會在進程里出現 httpd .
過了一會回顯找到幾個包含httpd文件的路徑:
/usr/bin/httpd
/etc/rc.d/init.d/httpd
/www/server/apache/bin/httpd
紅色的路徑很可疑,進到目錄看一下
cd /etc/httpd
列一下生成時間
ls-ll
發現文件都是最近生成的。特別是有個 miner.sh 里面內容竟然提示這是一個挖礦程序。
還有個 xmrig.log 文件,感覺是 xmrig挖礦程序的日志文件。
果斷刪除目錄下所有內容。
rm -rf *
刪除 httpd 的進程
killall httpd
完畢。