1.肉眼清晰可见es进程cpu使用率竟然达到了197%,纳尼,这是怎么肥四?这个奇怪的kswapd0是个什么东东?莫非这就是传说中的被挖矿了?
2.于是利用一下这行命令查看了一下,发现了kswapd0,于是发现事情不简单啊
3.发现了两个奇怪的ip地址
4.纳尼,这两个地址居然来自荷兰,什么鬼?上网搜索了了解了一番,基本可以断定机子被人挖矿了
5.然后查看了一下linux上的定时任务,注意后面几个rsync,上面图片中出现过
6.于是打开了es文件,我去这不是上面图片中的定时任务吗,看来这个挖矿恶意程序不简单呐,还有定时任务,究竟这个程序怎么植入进来的。于是又上网了解了一下,我去居然是我的Elasticsearch的密码设置的太简单了,估计被暴力破解了,真是好好给我上了一课啊。然后开始杀恶意进程,删除定时任务,重启es服务,设置了一个我压根背不下来的炒鸡复杂的密码。
7.过了一段时间,去查看了控制台中的cpu监控(以防万一,第二天又去看了一下,没有问题),nice,真实好好的上了一课