云主机发现主机CPU使用率很高:./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 80 --cpu-priority 3
今天登陆了共有云主机发现主机CPU使用率很高,top命令查看,发现有两个trace进程占用CPU超级高。
通过ps -ef|grep trace查看到两条trace进程,这里截取其中一条如下:
./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 100 --cpu-priority 3 --print-time 25 --threads 2 --url monerohash.com:2222 --user 45F63UPYbAE1opWW9eAyErgx299LywuTKgWCRzcyW7mZ3RSM9WdCQT7gTMPzq2ciLATArw85aByiga7irig4E4Eo2hGvVBN --pass x --keepalive 1
通过进程确认不是我们需要的正常进程,
排查这两个进程的父进程,
通过pstree -up发现这两个进程的父进程是jenkins下控制的两个脚本进程,
再通过进程号找到/tmp路径下的两个脚本:
执行脚本查看trace的进程
ps -ef | grep trace
得到进程id 查看对应的目录
ls -l /proc/418/exe
确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本
将两个脚本删除,再将两个trace进程kill掉,CPU就降下来了。
执行htop命令,发现cpu已经降下来了
