阿里云云監控到有兩臺redis伺服器CPU被某程序消耗400%cpu資源

系統檢視Top 情況並未找到高消耗程序X7但CPU100%ni

Netstat 查詢到了一些異常請求，初步判斷出元件被提權入侵了

嘗試查詢異常程序X7關聯的檔案，排查還在/etc/hosts發現增加了如下異常對映，檢視相關異常檔案內容後進一步確定問題，挖礦程式~

Unhide工具掃描/proc後也看到了隱藏程序

挖礦修改了centos 的動態連結庫配置檔案ld.so.preload內容並引用了/usr/local/lib/libjdk.so，開始top未查詢到異常程序是由於該病毒涉及到 Linux 動態連結庫預載入機制，是一種常用的程序隱藏方法，而 top 等命令都是受這個機制影響的，所以一開始並未看到相關程序。

問題至此，先清理動態連結庫
[[email protected] ~]# cp /etc/ld.so.preload /etc/ld.so.preload.bak
[[email protected] ~]# vi /etc/ld.so.preload
刪除相關內容
[[email protected] ~]# echo $LD_PRELOAD
結果為空

清理完成後，top已經可以看到之前隱藏程序

lsof進一步檢視該程序打開了哪些相關檔案，問題定位清楚了，直接刪除相關病毒檔案 ，清理相關程序，調整 /etc/hosts檔案，cpu迴歸正常負載，細查crontab暫時未發現非正常任務，觀察狀態。

問題主要由於使用root啟動了redis導致被爆提權而後引起這一系列的後果...靜思前後，任重道遠~