服务器被挖矿木马劫持事件

事件回顾
2020年8月10日中午12时30分接到阿里云发出的服务器被挖矿木马入侵的警告，之后个系统出现不能访问的情况，登录阿里云控制面板查看，kubernetes集群的四台节点服务器CPU使用率都处在高位（100%），之后迅速展开排查，查杀木马程序进程，删除木马程序执行文件，关闭木马程序容器，删除木马程序的镜像，于13点15分，四个节点服务器上木马程序清理完毕，服务器CPU使用率恢复正常，系统访问正常。
处理方式
1.根据阿里云报警信息，删除服务器上木马程序。
2.“top”命令查看服务器占用资源最高的进程，结合“ps”命令找出进程号，杀死木马进程。
3.“docker ps”命令排查携带木马程序的docker容器，删除木马容器，清理木马容器镜像。
4.再次检查服务器进程情况，发现异常进程“bash”占用非常高，排查“bash”非正常服务进程，杀死“bash”进程，服务器CPU使用率恢复正常，系统访问恢复正常。
5.清理服务器上的垃圾文件
6.删除kubernetes的无关账号授权
7.检查防火墙配置