【记录一次服务器被黑的经历】

记录一次服务器被黑的经历

一.事情背景

事情背景是这样的：早上云服务器疯狂给我发消息，告诉我服务器有恶意文件。之后登录上去一看，发现服务器被人挖矿了。
使用top命令进行查看：发现cpu占满了（我的是4核的，这里发现4个核几乎都沾满了）。

二.先看结果

1. 发现这个文件是ll这个用户（的，之后就去查看服务器的根目录，发现多了一个目录tmp.

2.发现这个目录中有一些文件，其中就包括ll这个用户和它破解掉的密码。

3. 查询最近这个账号登录的ip地址，发现一个异常的ip地址。来自于新加坡，确定被黑无疑。

三.解决办法

解决思路：先干掉这个程序，之后删除这个脚本，删除定时任务。

1.第一步先kill掉这个任务。删除tmp这个目录以及源程序。

2.删除定时任务及文件

杀掉之后发现服务器过一段时间之后会进行重新启动这个挖矿软件。我们进行使用crontab-l查看当前用户的定时任务。（一般情况使用crontab -l是看不到的挖矿的程序，需要查看/etc/crontab）

这里使用crontab -l发现了定时任务和程序脚本的位置，先把定时任务进行删除，之后分别把这个脚本进行删除。

四。后续
之后没有发现cpu资源占用过高，问题是初步解决了。
注意事项：不要使用弱密码，很容易被攻破！