记录一次阿里云服务器被攻击的经历

Posted 2020-11-05 Doyourself!

　　  前些天买了阿里云服务器，无奈最近没空登录。安装了tomcat jdk maven mq jenkins 等几个服务后，找了个以前做的项目在上面跑了下，没问题后一周没怎么登录过。然后这几天手机一直收到服务器在异地被登录的消息，想想自己服务器什么也没有，过几天修改下密码就行了吧，结果今天早上又发了条短信，说 服务器 出现了紧急安全事件：挖矿进程。 无语，之后登录上服务器后果然发现cpu占用近乎100%，top命令 查看是哪个进程占用了cpu，之后kill -9 杀死后 过了几秒又重启无奈了啊。。。

      上网搜，问同事，仍然没有解决。之后想了想，既然杀死后又会重新启动，是不是 里面有自动任务或者脚本在执行。系统是centos7的，嗯，先试试怎么查看  centos7有哪些自动任务在执行。果然是有：

     crontab -u 用户名 -l    //查看 该用户下有 哪些自动任务

     嗯果然是看到一条。。。

    * * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1

    之后 vim 看了下 是一个脚本，刚开始 自己用root 命令 删除了下，不管用 ，cpu满的哪个还是会重启。 嗯，切换到 对应的用户下，再删除下试试。删除后又切换到root 用户，再次kill -9 pid 后 发现 不重启了 。。。 好吧 ，赶紧修改阿里云登录密码。。。

  总结下大概步骤是这样的：

 

   1.  top命令 查看 是哪个用户占用cpu

  2.kill -9 杀死进程后，如果又重新重启，使用crontab -u 用户名 -l 查看哪个 用户下有哪些自动任务 比如我的 * * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1 

   3.su 切换到对用的用户下，rm -rf 命令 删除 /var/tem/.c/.f/upd 

   4.重新kill -9 进程id, 此时没有再次重启

   5 修改阿里云登录密码并重启阿里云服务器

 

 

    天空又变得晴朗了。