服务器成了minerd挖矿机解决办法

批量收到nagios告警 Info: WARNING - load average: 24.08, 16.98, 7.84，登陆服务器发现cpu使用率很高，是nagios用户下的minerd的进程导致的。

看来我们的服务器变成了别人的矿机，用来挖掘莱特币了。

查看minerd进程：

结束掉minerd进程 kill -9 20144

删除/tmp目录下面的minerd文件夹

做了这些操作之后，过了5分钟之后服务器负载恢复正常。这个时候我还没想到是nagios用户出问题了。

等过了一个多小时的时候，负载告警再次批量出现，查看进程

进程名称由minerd变成了隐蔽性更强的bash，用户还是这个用户。

结束掉进程，用kill命令杀死pid但是发现没有起到作用。这个时候我怀疑可能是中毒木马了。切换到nagios用户下，用crontab -l 才发现有个计划任务，没两秒钟执行一次/var/tmp下面的一些脚本，怪不得我杀掉是没有效果的啊,/var/tmp目录下面的文件有这些：

所以现在处理的步骤为：

1、su - nagios，然后crontab -e 清除里面的计划任务

2、ps -ef|grep nagios，杀死如上图中的bash,m32,m64等可疑进程

3、手动删除/var/tmp下面的可疑文件

4、删除用户nagios 主目录/home/nagios下面的文件。

5、更改naigos用户密码，不用初始密码。

做完这些操作之后，服务器再也没有因为负载过高而导致nagios报警了。

总结：初步可以判定是黑客扫描出了一些用户之后，然后暴力破解了nagios用户密码了。