一、問題發現

最新在使用騰訊云部署項目應用，具體方式為docker部署。今天早上發現騰訊云發來一條報警信息：

看到信息中說到攻擊行為，懷疑是否中了病毒，決定排查一下問題。

二、排查過程

首先登錄騰訊云服務器控制臺，發現cpu占用率處于較高水平，接下來登錄服務器排查。

1.使用last查看最近登錄信息，沒有發現什么特別信息；

2.使用history查看歷史指令

此時發現所有的histroy都被清空，然而本人并沒有更改過設置，昨天使用history還正常，此時立馬引起了我的警惕。

3.查看/etc/passwd下的賬戶信息

此時發現多了一個叫hilde的用戶。
此時嘗試使用 usermod -L hilde鎖定hilde用戶，發現并沒有權限。

稍后對此問題進行解決。

4.查看日志文件/var/log/secure
less /var/log/secure|grep ‘Accepted’

5.查看日志文件/var/log/message，發現有大量的關鍵詞掃描“scan”

6.使用top查看進程運行信息

其中pnscan進程可以確定是挖礦病毒，rshim為centos系統自帶進程。至此可以判斷服務器被挖礦病毒挾持。

7.使用netstat查看端口信息

發現此時也沒有執行權限，和鎖定用戶同樣的現象，心中默想，這個病毒太猖獗了，居然端口權限也給修改，簡直不能忍。

8.使用docker ps -a 查看容器運行情況
因為昨天使用docker安裝jenkin容器，此時決定去看看容器運行情況，果然發現了兩個并不是自己安裝的容器，此時進行了容器的關閉。

9.使用docker images 查看鏡像

10.crontab -l查看定時作業，正常

三、解決方案

1.殺進程

殺pnscan進程時突然發現，進程號一直在變化，真是狡猾！于是決定先刪除文件；

2.刪文件

文件刪除后，并重啟服務器，pnscan進程消失，但是又多了[scan]進程，于是使用kill -9殺除此進程，發現這玩意殺完之后馬上又起一個進程，根本殺不死！

此時覺得應該查看一下系統日志，于是打開/var/log/message，順著日志中的路徑打開文件夾，發現[scan]和[ext4]幾乎是同一時間段創建的，百度了一下config_background.json，果不其然，monero：門羅幣（此處參考文章：做一次“黑客“，入侵一次自己的服務器）

順著文章的意思，去查看authorized_keys，果然多了一個puppet的公鑰
3.刪秘鑰
此處參考Linux服務器發現挖礦病毒(crypto和pnscan)導致CPU爆滿100的詳細解決方法
后續需要進行一系列操作，如修改權限、刪用戶、刪除鏡像以及容器、具體解決辦法大家可以自行百度

后續參考：

蒼了個天，記一次Linux(被)入侵…

阿里云服務器被惡意程序攻擊解決詳情：您有服務器因攻擊被限制訪問部分目的端口