某用戶云服CPU 100%爆卡，進(jìn)入系統(tǒng)執(zhí)行top后發(fā)現(xiàn)一個(gè)名為 httpd的進(jìn)程很可疑。

在Linux 系統(tǒng)下，一般安裝ngnix 是不會(huì)有 httpd文件的。

即便是apache 或者 lamp 有httpd文件生成，也不會(huì)在進(jìn)程里出現(xiàn) httpd .

執(zhí)行查找命令  find / -name  httpd

過(guò)了一會(huì)回顯找到幾個(gè)包含httpd文件的路徑：

/usr/bin/httpd
/etc/rc.d/init.d/httpd
/www/server/apache/bin/httpd

/etc/httpd
/etc/httpd/httpd

紅色的路徑很可疑，進(jìn)到目錄看一下

cd  /etc/httpd

列一下生成時(shí)間 

ls-ll

發(fā)現(xiàn)文件都是最近生成的。特別是有個(gè)  miner.sh 里面內(nèi)容竟然提示這是一個(gè)挖礦程序。

還有個(gè) xmrig.log 文件，感覺(jué)是 xmrig挖礦程序的日志文件。

果斷刪除目錄下所有內(nèi)容。

rm -rf *

刪除 httpd 的進(jìn)程

killall  httpd

完畢。