记一个大问题：线上服务器被攻击 CPU 打爆

问题

突然线上服务器全部不可用 。 手机收到无数告警， CPU 使用超过100% ， 服务心跳失败 等。

售后，技术支持，领导电话通通飙来 。 一通慌啊。。。。。

找问题

上服务器，还好服务器还能登录 。

先找 CPU 问题 ， 找到 CPU 使用率超大的线程 。

发现不是应用进程，是陌生进程。 模糊中有点印象，这是一个挖矿工具。艹，果然是被攻击了。

杀掉进程

由于被攻击的是 master 服务器，接连所有的 slaver 服务器都被攻击。

挨个杀掉问题进程。

木马并不强， 杀掉后没有再自动起来。 给了一些时间 ， 慢慢清理进程。

重启应用

杀掉进程后 ， 先把服务里的应用进程重启 。

此时服务不可用已经半个小时了 。 唉，事故报告是不可避免的了。

找到木马文件

根据进程文件的时间 ， 打到最近创建的所有文件。

配合运维，排查木马文件 ， 然后将木马文件全部删除。

清理服务器

文件清理掉后，还要排查清理一些配置。

服务器配置，文件配置 ， 端口。 系统文件，应用文件是否被修改。

慢慢重装服务器

要彻底删除木马，就重装系统，重置服务器。

一台台，一个个来 。