и уякал процессор на 700%, syslog изобиловал предупреждениями о перегреве CPU. Вообщем я его незамедлительно прибил. Подскажите что как куда смотреть что бы узнать подробности этого недоброго происшествия? И что вообще делают взрослые мужи в таких ситуация?
сервер в какой среде? прод/стейдж/тест? в любом случае, раз инцидент есть - сервер изолировать от основной среды. в случае с продом - может быть больно, потому нужна паралельно раскатанная реплика. слишком мало инфы о назначении сервера и типо сервиса. после изоляции сервера и отрезания ему доступов в интернет, из менеджмент сети (а лучше через квм) медленно и методично перебираем все воможные закладки. первым делом смотрим cron/crontab. возможно там лежит скрипт для повторной заливки/запуска майнера. дополнительно убеждаемся, не переназначен ли кронтаб, не подсунули ли нашим юзерам в path что-то не то, вдруг он смотри на бинарник кронтаба у себя в хомике, а реальный кронтаб в другом месте. возможно, кроме крона будет запуск через at проверяем systemctl status atd (если там systemd), запущена ли вообще эта штука. если есть докер/подман/кри-о/что-то еще - смотрим, нет ли в фоне контейнеров. особо извращенные товарищи могут и в lxc запихать.
Обсуждают сегодня