.dhpcd致使cpu飙升问题

因公司有业务服务器在阿里云上面，阿里云后台报警说，“有恶意程序在挖矿”，引发了高度重视，因而我登录服务器进行排查。

登录云服务器：系统centos7.5

第一步使用top查看资源状况。

top

能够清楚的看到第一行：USER:test  cpu飙至384%，进程名字：.dhpcd

首先我跟开发的进行核实，是否有建立test用户，结果反馈没有，我问是否安装有.dhpcd服务，开发也说没有，做为一个运维人员我确定知道装了哪些服务。

这个服务明显不是我公司安装的，test用户也是不本身建立的。

ps -ef | grep .dhpcd    ##进程号是2595

ls -l /proc/2595/exe     ##查看服务的位置

使用kill结束掉该服务。

kill -9 2595

结束掉此进程后，删除.dhpcd的文件

cd /home/test  

rm -rf .dhpcd   ###删除服务文件

通过排查test用户不是咱们本身建立的，黑客利用手段建立的test用户，经过test用户植入.dhpcd,致使cpu飙升。

肯定test用户不是咱们本身建立的之后，咱们将test用户删除，避免下次在经过test植入病毒，木马。

再次使用top查看。

已经被干掉了，须要观察一段时间。

能够在使用crontab -l查看是否还有被植入的任务计划，黑客惯用的手段。