因為項目需求我在自己的服務器上把docker的遠程服務給打開了，同樣的暴露了相應的端口。很快，上午操作完，中午休息的時間騰訊云給我發(fā)來一條短信

image.png

當時沒怎么注意，直到下午的時候發(fā)現(xiàn)服務提供的服務可卡，這時我才下想起來這個郵件，立馬登錄騰訊云控制臺檢查了一下，直接檢測出兩個挖礦木馬，由于我的服務器上有著自己的個人博客及一些服務，不想直接重置服務器。
嘗試著手動清除.....
第一步查看.ssh文件，果真里面有剛多出來的兩個ssh文件，于是直接刪除這個文件夾期間，報錯拒絕訪問，使用Cacls attrib等命令折騰一番文件權限，發(fā)現(xiàn)不行。如果文件屬性中有i與a，或者其中一個，使用chattr命令去掉（刪除不可以使用直接卸載的話重新安裝）
第二步：殺掉木馬進程
過了一陣發(fā)現(xiàn)它又自動重啟了。百度發(fā)現(xiàn)可以存在定時任務。
crontab -l 查看定時任務
crontab -r 刪除所有定時任務
這一步直接使用rm -f或者corntab -r可能顯示：cannot remove ‘root’: Permission denied
首先使用chattr -ia filename命令將文件的權限去掉；
直接使用chmod 777 filename，修改完畢后已經(jīng)得到了權限。
終于不再作妖了，我以為可以放心的玩耍了。
可是到了凌晨一點多，騰訊云又有一件郵件發(fā)過來...

image.png

意識到情況不對，立馬在控制臺上關閉了服務器。
第二天，開機，重新查看。發(fā)現(xiàn)docker中多了一個正在啟動不知名的容器。直接停止，刪除容器。后面過了一陣時間，又自動換名稱部署重啟。
沒辦法，太業(yè)余了，百度了好多，都沒能干掉它。只好先把自己的數(shù)據(jù)庫和項目給備份，然后重置服務器了。。