作為程序員一枚首先服務器基本安全配置： 禁用默認端口22 防止撞庫等方式暴力破解服務器

命令： vim /etc/ssh/sshd_config 設置port 重啟 。禁用root賬戶登錄：vi /etc/ssh/sshd_config 設置PermitRootLogin no

然而防不勝防呀。在某云購買的服務器 在某一天cpu飆升100%，導致ssh鏈接變慢。訪問服務變慢的解決過程。阿里云警報服務器被植入挖礦木馬，與可疑礦機持續(xù)通信。

服務器是新購買的，運行著Tomcat，MySQL，MongoDB，Nginx等程序。接下來便是處理問題的過程。

首先top查看內(nèi)存使用情況

多了很多未知speed進程。查看speend進程對應的啟動文件

ls -l /proc/pid(303)

初步判斷speed為挖礦程序。/tmp/speed為挖礦腳本。

初步解決方案pkill -9 speend

cd /tmp?? rm -rf speed

至此服務器恢復正常 cpu恢復正常。

接下來檢查定時任務 方式木馬植入病毒程序 定時遠端下載木馬。

crontab -l -u root(用戶) 查找所有用戶的定時任務

初看肯定是沒有問題。打開logo.jpg提示文件不存在。

vim /tmp/.tmp/upd

找到定時任務的腳本文件。圖片路徑果然只是偽裝。目的是為了下載挖礦腳本。

刪除定時任務 crontab -r? 刪除tmp下面所有的病毒文件

到這解決了病毒文件。重復挖礦的問題。

最后一步找到病毒文件感染源。首先lastlog 查看用戶登錄日志，沒有發(fā)現(xiàn)異常。估計是被抹掉痕跡了。小偷偷東西一般不會留下東西的。

查看history 所有的操作命令。病毒感染日志 是9月21日

刪除異常文件。至此解決問題。