服务器被挖矿后的解决思路

1. 前言

---

最近在学习远程连接Docker，需要开启TCP；都说容易被别人获取root权限，开始没以为然，慢慢我感觉远程操作服务器越来越缓慢，top命令后发现还真被挖矿了…第一次嘛没什么经验，简单的干掉可疑进程后重启了服务器，就没管了，结果两天后发现又被挖了…

2. 思路

---

1. top查看进程，占高达90%CPU以上基本都是可疑的
2. ls -l /proc/$PID/exe查看可疑进程所在目录
3. kill $PID干掉可疑进程
4. rm -rf $DIR删掉可疑进程所在目录
5. service crond status 查看是否开启了定时任务
6. 如果开启了定时任务，就进入目录cd /var/spool/cron/，这里的文件记录着每个用户的定时任务
7. rm -rf $FILE删掉可疑定时任务文件
8. service crond stop关闭定时任务
9. cat ~/.ssh/authorized_keys查看配置的公钥，可能会出现一到多个没见过的公钥，编辑文件删除可疑的公钥或者重新生成密钥
10. cd /home/ && ls -all进入到此目录下查看可疑用户
11. userdel [-r] $USERNAME删除可疑用户
12. cat /etc/sudoers查看 sudo 文件中是否有可疑用户添加了 sudo 权限，编辑文件删除可疑用户的 sudo 权限，例如$USERNAME ALL=(ALL) ALL这种格式的

3. 结语

---

好几天了，没啥动静了。阿，快乐。

希望能够帮助到你

over