Пришел ко мне заказчик, говорит «сервер тупит», «проц загружен на все 100%».
Начал искать, всяко разно гугл исполосовал вдоль и впоперек, разными запросами, формулировками, задал вопрос в тематических чатах — глухо.
Но вечером, решив снова посмотреть на эту же проблему — вдруг наткнулся на тред на форуме, где обсуждался похожий вопрос и каково было мое удивление, когда никто не писал про настройку конфига, а было выдвинуто предположение, что сервер взломан и добавлен майнер.
Собственно, что рекомендует автор:
This will find which user has it installed:
find /home -name kswapd0
Also it reinstalls itself, look in /var/spool/crontab/ Also it installs keys in other users’ authorized_keys files.
Disable SSH from outside connections, back up your personal files, then
wipe the disk and reinstall the OS.
Переведу:
1. Смотрим, где это говнецо лежит:
find /home -name kswapd0
Идем туда и убиваем всю папку
2. Идем в папку /var/spool/crontab/ или /var/spool/cron/ — и смотрим, нет ли там чего подозрительного?
В моем случае — это был шифр под rsync
Я снес все записи оттуда и сохранил крон.
Далее — перезагрузка сервера и профит, нагрузка упала