最近阿里云一直再給我發(fā)警告短信，發(fā)現(xiàn)阿里云服務(wù)器CPU很高，我登上服務(wù)器后執(zhí)行 top 一看，有個(gè)進(jìn)程minerd盡然占用了90%多的CPU, 趕緊百度一下，查到幾篇文章都有人遇到同樣問題

Hu_Wen遇到的和我最相似，下邊是他的解決辦法

http://blog.csdn.net/hu_wen/article/details/51908597

但我去查看啟動(dòng)的服務(wù)，盡然沒有 lady 這個(gè)服務(wù)。 找不到始作俑者，那個(gè)minerd進(jìn)程刪掉就又起來了，后來想了個(gè)臨時(shí)辦法，先停掉了挖礦的進(jìn)程

1. 關(guān)閉訪問挖礦服務(wù)器的訪問iptables -A INPUT -s xmr.crypto-pool.fr -j DROPandiptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd? ,取消掉執(zhí)行權(quán)限， 在沒有找到根源前，千萬不要?jiǎng)h除 minerd，因?yàn)閯h除了，過一回會(huì)自動(dòng)有生成一個(gè)。

3. pkill minerd? ,殺掉進(jìn)程

4. service stop crond 或者 crontab -r 刪除所有的執(zhí)行計(jì)劃

5. 執(zhí)行top，查看了一會(huì)，沒有再發(fā)現(xiàn)minerd 進(jìn)程了。

解決minerd并不是最終的目的，主要是要查找問題根源，我的服務(wù)器問題出在了redis服務(wù)了，黑客利用了redis的一個(gè)漏洞獲得了服務(wù)器的訪問權(quán)限，

http://blog.jobbole.com/94518/

然后就注入了病毒

下面是解決辦法和清除工作

1. 修復(fù) redis 的后門,

配置bind選項(xiàng), 限定可以連接Redis服務(wù)器的IP, 并修改redis的默認(rèn)端口6379.

配置AUTH, 設(shè)置密碼, 密碼會(huì)以明文方式保存在redis配置文件中.

配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權(quán)訪問, 也能夠給攻擊者使用config指令加大難度

好消息是Redis作者表示將會(huì)開發(fā)”real user”，區(qū)分普通用戶和admin權(quán)限，普通用戶將會(huì)被禁止運(yùn)行某些命令，如conf

2. 打開 ~/.ssh/authorized_keys, 刪除你不認(rèn)識(shí)的賬號(hào)

3. 查看你的用戶列表，是不是有你不認(rèn)識(shí)的用戶添加進(jìn)來。 如果有就刪除掉.