一次挖矿程序的清理（回忆版）

Posted 2022-07-30 a317418365

由于是回忆版，当时并未留截图，所以只能口头描述一下了。

当时本地服务器发现一个进程占用了99%的CPU以后，kill了好几次发现过一会就会自动启动，于是开始找是哪个进程来启动这个进程的，当时TOP发现一个叫ujusl5的莫名其妙的进程，kill掉以后那个挖矿进程就不会自动启动了，启动这个进程的是postgresql用户，于是登录这个用户去寻找ujusl5的文件

以及在crontab里发现了启动进程的脚本，一起删除后就正常了。

事后回想应该是当时需要居家办公，为了图方便就把本地服务器的22端口一起开放出去了，postgresql是PG用的账户，是个弱密码，所以被黑客找到放入了挖矿程序，把22端口取消对外以后就再也不会出现这个问题了。