记一次挖矿病毒

1. Top发现挖矿病毒
   中毒挖矿的特征：服务器比较卡，top查看，内存和CPU占用都比较高

2. 根据PID查找进程，回显记录下来了，当时没有截图
   

3. 看到这是lthpc这个用户起来的程序，因为服务器是购买的联泰集群，装机会默认创建这个用户，UID一般为1000 而且所有联泰集群服务器的这个用户默认密码都是Lt111111
   （现在的怀疑黑客是通过这个用户进来的，反正给领导是这么汇报的）

4. 查找到进程后第一步就是kill杀死这个进程，然后这个挖矿脚本一般会存在/var/tmp下，但是当时查找没有找到。

5. 一般的挖矿病毒都会设置定时任务，通过crontab -l查看定时任务，没有找到，然后在/etc/cron.d/下也没有找到。

6. 因为我是用root用户去查看的crontab 这个是看不到其他用户创建的定时任务的，想要查看其他用户的定时任务可以进入到 /var/spool/cron

7. lthpc用户创建的定时任务就在这里了，当时着急了没有看里面内容，直接就删除了。

8. 最后使用find / -name cnrig 查找到了此脚本在/var/tmp/下有一个隐藏文件.ap
   Cd /var/tmp/ 进入到目录下

9. 然后执行ll -a 查看到了隐藏文件，接着进到这个隐藏文件下，发现新天地了
   

当时没有经验，直接就删除了，以至于现在想看到底咋回事都无从下手了…

小结：删除所有无关用户，修改所有用户密码，增加密码强度，开启防火墙。