gitlab服务器中毒之一

gitlab服务经常用起来比较卡，通过排查发现cpu使用率持续较高，排查后发现中毒。为了保证排查准确度，需要结合top/ps/netstat来观察，单纯某个命令不一定能发现问题所在。

已通过top排查，并不能很好显示问题，继续查看监听情况

可以看到异常进程相当多，而且名字怪异，再继续根据得到的名字搜索

根据连接的ip可以知道是进入了国外矿池，基本上就是中了挖矿病毒了

挖矿病毒不可能只启动一个进程就完事了，必须要做自启的，所以需要检查每个用户的crontab任务还有/etc/cron.d/下的自动任务

根据进程号获取到了进程文件还有脚本等，但很多时候会分布多个目录做备用，要清理的话最好找出所有文件，可以根据md5搜索吧

查看相关的脚本吧，会下载挖矿程序等